Zcash 本周披露的一起关键漏洞，再次把 AI 与网络安全的关系推到台前。开发方表示，这一漏洞存在于其隐私池 Orchard 中，理论上可让攻击者无限增发伪造的 ZEC。由于该机制具备隐私特性，外界目前无法仅靠密码学手段确认漏洞是否曾被实际利用。

这次事件之所以引发更大关注，不只因为漏洞本身严重，还因为独立安全研究员 Taylor Hornby 在研究过程中使用了 Claude Opus 4.8。随着更强的 AI 模型进入代码审计、漏洞挖掘和安全测试领域，漏洞被发现的速度可能继续加快。

Zcash漏洞已存在多年

根据 Shielded Labs 的披露，这一问题自 Orchard 于 2022 年 5 月启用后就已存在，直到 2026 年 6 月 1 日紧急修复才被堵上。漏洞若被利用，攻击者可伪造无限数量的 ZEC，而外界目前无法确认链上是否已经出现过这类伪造资产。

这一不确定性很快传导到市场。报道提到，ZEC 价格在本周后段明显下跌，反映出投资者对隐私链审计难度和历史风险暴露的担忧。

AI正从写代码转向找漏洞

早期 AI 模型更多被当作编程助手，用于补全代码、解释逻辑和排查错误。随着模型能力提升，研究人员开始把它们用于代码审查、软件审计和漏洞研究。业内人士认为，AI 在阅读复杂代码、定位异常路径和组合潜在攻击面的效率，已经明显高于多数人工流程。

ThreatLocker 联合创始人兼 CEO Danny Jenkins 表示，当前 AI 系统已经在加快漏洞发现，而更强的新模型可能进一步放大这一趋势。他认为，AI 同时也在降低漏洞研究门槛，让更多人能够分析代码、寻找弱点并构造利用方式。

科技公司已把AI用于安全研究

这一趋势并不局限于加密行业。Anthropic 本周扩大了 Project Glasswing 的使用范围，向 150 家公司和机构开放 Claude Mythos，用于在模型更广泛发布前识别和修复软件漏洞。

此前，Mozilla 曾披露，Anthropic 的模型帮助 Firefox 修复了数百个漏洞。微软也在 5 月推出名为 MDASH 的代理式漏洞发现系统，并称其帮助识别了此前未知的 Windows 漏洞。研究人员还曾使用 Mythos Preview，参与生成针对苹果 M5 芯片的公开利用样本。

加密协议面临更直接压力

对加密和 DeFi 项目来说，风险更为直接。相关代码通常开源，链上又承载真实资金，这使其长期都是攻击者和安全研究员重点关注的目标。随着 AI 提升代码分析效率，开源协议被快速扫描、定位缺陷和构造攻击路径的难度正在下降。

报道援引数据称，2026 年前五个月，DeFi 项目被盗金额已超过 8.4 亿美元，其中仅 4 月就超过 6 亿美元，涉及 KelpDAO、Drift Protocol 等项目。与此同时，所谓“vibe hacking”也在引发关注，即攻击者借助 AI 编码代理自动完成侦察、凭证窃取、恶意软件开发等任务。

不过，安全从业者也指出，AI 并不只会帮助攻击者。Blockaid 首席技术官 Raz Niv 表示，更现实的变化不是 AI 取代黑客，而是放大黑客能力，让攻击者把精力转向更复杂的环节，同时把重复性任务交给模型处理。对防守方而言，AI 辅助监控和模拟也正成为安全团队追赶攻击速度的必要工具。