Claude Opus 4.8 发现45亿美元漏洞：AI时代的安全攻防新格局

查找币:余老师 | 深度分析 | 2026-06-07 00:01 | 18 次浏览 | 1 条回复

查找币深度分析行业资讯 Web3安全区块链

## 引言：一次震惊行业的发现 2026年5月29日，安全研究员Taylor Hornby在Shielded Labs委托的协议审计中，利用Anthropic发布的Claude Opus 4.8模型，成功发现Zcash网络Orchard模块的一个严重漏洞。这个漏洞允许攻击者凭空铸造无限数量的代币，直接威胁到Zcash约45亿美元的市值。消息公布后，Zcash价格暴跌50%，引发整个区块链安全行业的震动。 ## 漏洞细节：Zcash Orchard模块的致命缺陷 Zcash作为老牌隐私网络，依赖零知识证明（zk-SNARKs）保护交易隐私。Orchard是Zcash隐私交易能力的核心组件，负责处理屏蔽交易。Hornby在审计过程中发现，Orchard的证明验证机制存在逻辑缺陷，攻击者可以构造无效的零知识证明，绕过验证环节，实现无限增发。 **关键时间线：** - 5月28日：Anthropic发布Claude Opus 4.8 - 5月29日：Hornby利用Opus 4.8发现漏洞 - 6月5日：Zcash官方确认漏洞并完成紧急升级 - 6月5日：官方声明发布后，Zcash价格暴跌50% 值得注意的是，Zcash官方至今无法确认该漏洞是否已被恶意利用。这意味着，可能存在未被发现的增发行为，进一步加剧了市场恐慌。 ## AI安全能力的“普通化”趋势 Zcash事件最令人担忧的不是AI的强大，而是这种强大正在变得“普通”。在Opus 4.8发布前，安全行业真正恐惧的是Anthropic的Claude Mythos Preview。2026年4月，Anthropic公布的网络安全能力评估显示，Mythos Preview能够识别并利用主流操作系统和浏览器中的零日漏洞，包括潜伏27年的OpenBSD漏洞。 **Mythos Preview的关键能力：** - 自动识别零日漏洞 - 生成完整可用的攻击代码 - 无需安全背景的工程师即可操作这意味着过去只有顶尖安全专家才能掌握的漏洞挖掘能力，正在变成任何人都可以调用的服务。Anthropic意识到这种风险，推出了Project Glasswing，将Mythos Preview限制在少数防御性安全组织中使用。但Zcash事件表明，即使不是最强的Mythos，而是已经公开发布的Opus 4.8，也足以造成重大安全事件。AI的安全能力正在从“特殊”走向“普遍”，从“昂贵”走向“便宜”。 ## AI安全时代的双重挑战 AI将漏洞发现成本大幅降低后，安全行业面临两个并行挑战： ### 1. 虚假安全报告泛滥大量AI生成的“垃圾报告”正在淹没维护者。OpenSSF在2026年2月专门召开讨论会，研究开源维护者如何应对AI生成的漏洞报告。据curl项目报告，到2025年中，仅有约5%的赏金提交是真实漏洞，约20%明显由AI生成。 **AI垃圾报告的特点：** - 格式规范但内容空洞 - 难以快速验证 - 消耗维护者大量时间 - 类似DDoS攻击，但攻击目标是注意力 ### 2. 真实漏洞加速暴露与此同时，过去需要专家数周甚至数月才能发现的深层漏洞，现在被更快地挖掘出来。维护者需要在真假报告之间做出判断，而这两个问题会同时出现。 ## 开源维护者的困境开源项目维护者面临前所未有的压力。许多维护者没有工资、没有安全团队、没有排班表。然而，他们的项目支撑着全球无数商业系统。curl项目最终关闭了漏洞赏金项目，因为维护者“撑不住了”。 **维护者面临的典型困境：** - 无法区分AI生成的假报告和真实漏洞 - 缺乏足够人手处理激增的安全报告 - 商业公司享受开源成果却不提供支持 - 安全事件发生后遭受指责 ## 信任的脆弱性：互联网的“正常”假象我们习惯于数字系统的可靠性：手机能付款，地铁能扫码，医院能挂上号。但这种信任本质上是对技术复杂性的无知。代码像一座不断加盖的老楼，底层是旧协议、旧库，上层是临时需求和“先上线再说”，顶层堆着没人敢删的祖传代码。 **Heartbleed案例的启示：** - OpenSSL漏洞潜伏多年未被发现 - 影响全球三分之二的网站 - 修复需要大量协调工作 - 暴露了开源安全的系统性风险我们过去的平安，很大程度上是运气好。当AI开始批量发现漏洞，这种运气正在耗尽。 ## 安全行业的范式转移 AI进入安全领域，正在改变攻击和防御的平衡。小团队现在拥有大团队的审计能力，攻击者也能更快地读懂系统。 **AI带来的变化：** - 漏洞发现成本急剧下降 - 安全专家的工作从执行转向策略制定 - 需要更多能判断漏洞影响、协调上下游、编写补丁的人才安全从来不是靠灵光一现的行当，而是脏活累活：误报、背锅、打不完的补丁、开不完的会，还有凌晨三点把你叫醒的电话。 ## 结论：AI安全时代的生存法则加缪在《鼠疫》中写道：“鼠疫杆菌永远不会死绝，也不会消失……也许有一天，鼠疫会再度唤醒他的鼠群，让它们葬身于某座幸福的城市。” 网络漏洞也是如此。它们不是在被发现那天才诞生的，而是早就躺在代码里。过去没人听见它们的呼吸，我们把安静误当成了安全。 AI不会一夜之间摧毁互联网，但它会打开灯，让我们看清数字生活从来不是自动运转的自然秩序，而是一群人日复一日地把风险压低到我们感觉不到的程度。 **未来真正昂贵的不是找到漏洞，而是还有足够多的人愿意把漏洞一个接一个地修完。** --- 本文由查找币安全团队整理发布

Claude Opus 4.8 发现45亿美元漏洞：AI时代的安全攻防新格局

查找币安全研究院

主题延伸阅读

回复 (1)