Default
Door Remote - 07 Jun 2026
In het kort
Beveiligingsonderzoeker Taylor Hornby gebruikte Claude Opus 4.8 om een vier jaar oude fout in Zcash's Orchard-privacypool te ontdekken die het mogelijk had kunnen maken om onbeperkt valse ZEC's te maken.
Cybersecurity-onderzoekers zeggen dat grensverleggende AI-modellen steeds beter in staat zijn om cryptografische en logische fouten te vinden waarvoor voorheen diepgaande specialistische expertise nodig was.
Deskundigen waarschuwen dat mogelijkheden die in de buurt komen van de meest geavanceerde systemen voor het ontdekken van kwetsbaarheden binnen enkele maanden algemeen beschikbaar zouden kunnen worden.
Een beveiligingsonderzoeker die Claude Opus 4.8 van Anthropic gebruikte, ontdekte binnen enkele dagen een kritieke fout in Zcash's Orchard-privacypool, waarmee een kwetsbaarheid werd blootgelegd die vier jaar onderzoek door toonaangevende zero-knowledge cryptografen had overleefd.
De onthulling zorgde ervoor dat ZEC donderdag met ongeveer 38% daalde en zorgde voor een bredere bezorgdheid voor de crypto-industrie rond grens-AI-modellen die steeds bekwamer worden in het vinden van kwetsbaarheden dan de meeste mensen.
"De betekenis is niet echt dat AI bugs kan vinden", vertelde Ben Goertzel, oprichter en CEO van SingularityNET, aan Decrypt. "Het is dat het soort bug dat het nu kan vinden, is veranderd."
In plaats van eenvoudigweg voor de hand liggende codeerfouten te signaleren, zijn grensmodellen steeds beter in staat te redeneren over de vraag of software zich gedraagt zoals de ontwerpers het bedoeld hebben, zei hij.
In mei ontdekte Taylor Hornby, een beveiligingsonderzoeker ingehuurd door Shielded Labs, een kritieke fout in het Orchard-circuit van Zcash met hulp van Claude Opus 4.8 van Anthropic. Verborgen in twee regels code, kwam de bug voort uit een controle die transactie-invoer leek te valideren, maar niet daadwerkelijk de beoogde regels afdwong, waardoor een aanvaller mogelijk zonder detectie valse ZEC in de afgeschermde pool kon creëren. Hornby heeft een werkende exploit gebouwd om de kwetsbaarheid te verifiëren voordat deze aan de ontwikkelaars wordt gerapporteerd. Op 1 juni werd een noodoplossing ingezet.
Wat bijdraagt aan de paniek die Zcash en de bredere cryptomarkt donderdag en vrijdag trof, is het feit dat de fout al meer dan vier jaar onontdekt was gebleven.
Voor Goertzel is de ontdekking niet alleen belangrijk omdat AI een kwetsbaarheid heeft gevonden, maar ook omdat het wijst op een nieuw model voor veiligheidsonderzoek.
“Ik denk dat dit een vroeg teken is van een verschuiving die moeilijk te overschatten zal zijn”, zei hij. “Het model van beveiligingsonderzoek, waarbij een handjevol gerespecteerde menselijke specialisten langzame, ambachtelijke en uiterst deskundige audits uitvoert, verdwijnt niet, maar is niet langer het hele spel.”
Goertzel zei dat de Orchard-fout tot een klasse van subtiele logische bugs behoort die grensverleggende AI-modellen steeds beter kunnen vinden, waaronder smart-contract-fouten, toegangscontrolefouten en situaties waarin software zich anders gedraagt dan de ontwerpers hadden bedoeld. Naarmate deze mogelijkheden verbeteren, voegde hij eraan toe dat beveiligingsonderzoek verschuift naar een model waarin menselijke specialisten toezicht houden op voortdurende AI-gestuurde beoordelingen die codebases veel uitgebreider kunnen analyseren dan traditionele audits.
Het Zcash-antwoord zelf kan een voorproefje bieden van die toekomst, zei Goertzel.
"Shielded Labs die specifiek een onderzoeker inschakelen om fouten op protocolniveau op te sporen met een grensmodel voordat een kwaadwillende actor dat zou kunnen doen, is, vermoed ik, het sjabloon en niet de uitzondering", aldus Goertzel. "Proactieve, AI-verbeterde, vijandige beoordeling wordt een inzet, en de protocollen die dit niet overnemen zullen steeds vaker degenen zijn die hun kwetsbaarheden leren kennen van de aanvaller in plaats van van een bevriende aanvaller."
Volgens Sean Ren, CEO van Sahara AI en hoogleraar computerwetenschappen aan de Universiteit van Zuid-Californië, hervormen de vorderingen op het gebied van AI ook de balans tussen aanvallers en verdedigers, omdat frontiermodellen snel aanvalsstrategieën kunnen testen, van de resultaten kunnen leren en zwakke punten kunnen ontdekken.
"Om een betere verdediging op te bouwen, moeten we deze grensverleggende AI-modellen gebruiken als potentiële aanvallers om deze systemen te testen", vertelde Ren aan Decrypt.
Ren zei dat blockchain-netwerken vooral kwetsbaar zijn omdat hun open-sourcecode rechtstreeks kan worden geanalyseerd door geavanceerde AI-modellen, die aanvalsstrategieën snel kunnen testen en kwetsbaarheden sneller kunnen identificeren dan traditionele beveiligingsbeoordelingen.
"Als je denkt aan grensmodellaboratoria als OpenAI, Anthropic en Google DeepMind, hebben ze eerder toegang tot de sterkste ongepubliceerde modellen en kunnen ze veel experimenten uitvoeren op openbare netwerksystemen zoals blockchains, dus ze hebben de macht bij de hand", zei hij. “Als iemand met kwade bedoelingen toegang zou hebben tot deze mogelijkheden, zou hij aanvallen kunnen uitvoeren en kwetsbaarheden kunnen creëren.”
Dat venster sluit mogelijk sneller dan velen verwachten, en volgens Danny Jenkins, CEO en mede-oprichter van cyberbeveiligingsbedrijf ThreatLocker, verbetert de AI-ondersteunde detectie van kwetsbaarheden sneller dan veel organisaties de software kunnen beveiligen waar ze al op vertrouwen.
"We hebben een enorme kloof die jaren en jaren zal duren om te doorbreken", vertelde Jenkins aan Decrypt. "Al deze software zal al deze kwetsbaarheden bevatten, we zullen er lange tijd geen oplossingen of updates voor hebben, en mensen zullen deze kwetsbaarheden zeer snel kunnen vinden."
Jenkins zei dat AI het onderzoek naar kwetsbaarheden niet zozeer fundamenteel verandert, maar juist dramatisch versnelt. Taken waarvoor beveiligingsonderzoekers ooit code moesten beoordelen en software handmatig moesten reverse-engineeren, kunnen nu door moderne modellen binnen enkele seconden worden uitgevoerd.
"Pre-AI, cyberdreigingen en exploits namen elk jaar toe", zei hij. "Post-AI is nog sneller geworden, en ik denk dat het om twee redenen sneller is geworden. Eén daarvan is dat je nu AI kunt gebruiken om kwetsbaarheden en exploits te helpen vinden, en het aantal mensen dat daartoe in staat is, is enorm gegroeid. Je hoeft nu geen scriptkidddie te zijn."
Ondanks deze risico’s betoogde Goertzel dat crypto mogelijk ook beter gepositioneerd is dan andere industrieën om zich aan te passen, omdat de code open is en de gemeenschappen zeer op veiligheid gericht zijn.
“Crypto staat het dichtst bij de deur, maar het is ook het deel van de kamer dat de deur kan zien aankomen”, zei hij.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Beveiligingsonderzoeker Taylor Hornby gebruikte Claude Opus 4.8 om een vier jaar oude fout in Zcash's Orchard-privacypool te ontdekken die het mogelijk had kunnen maken om onbeperkt valse ZEC's te maken.
Cybersecurity-onderzoekers zeggen dat grensverleggende AI-modellen steeds beter in staat zijn om cryptografische en logische fouten te vinden waarvoor voorheen diepgaande specialistische expertise nodig was.
Deskundigen waarschuwen dat mogelijkheden die in de buurt komen van de meest geavanceerde systemen voor het ontdekken van kwetsbaarheden binnen enkele maanden algemeen beschikbaar zouden kunnen worden.
Een beveiligingsonderzoeker die Claude Opus 4.8 van Anthropic gebruikte, ontdekte binnen enkele dagen een kritieke fout in Zcash's Orchard-privacypool, waarmee een kwetsbaarheid werd blootgelegd die vier jaar onderzoek door toonaangevende zero-knowledge cryptografen had overleefd.
De onthulling zorgde ervoor dat ZEC donderdag met ongeveer 38% daalde en zorgde voor een bredere bezorgdheid voor de crypto-industrie rond grens-AI-modellen die steeds bekwamer worden in het vinden van kwetsbaarheden dan de meeste mensen.
"De betekenis is niet echt dat AI bugs kan vinden", vertelde Ben Goertzel, oprichter en CEO van SingularityNET, aan Decrypt. "Het is dat het soort bug dat het nu kan vinden, is veranderd."
In plaats van eenvoudigweg voor de hand liggende codeerfouten te signaleren, zijn grensmodellen steeds beter in staat te redeneren over de vraag of software zich gedraagt zoals de ontwerpers het bedoeld hebben, zei hij.
In mei ontdekte Taylor Hornby, een beveiligingsonderzoeker ingehuurd door Shielded Labs, een kritieke fout in het Orchard-circuit van Zcash met hulp van Claude Opus 4.8 van Anthropic. Verborgen in twee regels code, kwam de bug voort uit een controle die transactie-invoer leek te valideren, maar niet daadwerkelijk de beoogde regels afdwong, waardoor een aanvaller mogelijk zonder detectie valse ZEC in de afgeschermde pool kon creëren. Hornby heeft een werkende exploit gebouwd om de kwetsbaarheid te verifiëren voordat deze aan de ontwikkelaars wordt gerapporteerd. Op 1 juni werd een noodoplossing ingezet.
Wat bijdraagt aan de paniek die Zcash en de bredere cryptomarkt donderdag en vrijdag trof, is het feit dat de fout al meer dan vier jaar onontdekt was gebleven.
Voor Goertzel is de ontdekking niet alleen belangrijk omdat AI een kwetsbaarheid heeft gevonden, maar ook omdat het wijst op een nieuw model voor veiligheidsonderzoek.
“Ik denk dat dit een vroeg teken is van een verschuiving die moeilijk te overschatten zal zijn”, zei hij. “Het model van beveiligingsonderzoek, waarbij een handjevol gerespecteerde menselijke specialisten langzame, ambachtelijke en uiterst deskundige audits uitvoert, verdwijnt niet, maar is niet langer het hele spel.”
Goertzel zei dat de Orchard-fout tot een klasse van subtiele logische bugs behoort die grensverleggende AI-modellen steeds beter kunnen vinden, waaronder smart-contract-fouten, toegangscontrolefouten en situaties waarin software zich anders gedraagt dan de ontwerpers hadden bedoeld. Naarmate deze mogelijkheden verbeteren, voegde hij eraan toe dat beveiligingsonderzoek verschuift naar een model waarin menselijke specialisten toezicht houden op voortdurende AI-gestuurde beoordelingen die codebases veel uitgebreider kunnen analyseren dan traditionele audits.
Het Zcash-antwoord zelf kan een voorproefje bieden van die toekomst, zei Goertzel.
"Shielded Labs die specifiek een onderzoeker inschakelen om fouten op protocolniveau op te sporen met een grensmodel voordat een kwaadwillende actor dat zou kunnen doen, is, vermoed ik, het sjabloon en niet de uitzondering", aldus Goertzel. "Proactieve, AI-verbeterde, vijandige beoordeling wordt een inzet, en de protocollen die dit niet overnemen zullen steeds vaker degenen zijn die hun kwetsbaarheden leren kennen van de aanvaller in plaats van van een bevriende aanvaller."
Volgens Sean Ren, CEO van Sahara AI en hoogleraar computerwetenschappen aan de Universiteit van Zuid-Californië, hervormen de vorderingen op het gebied van AI ook de balans tussen aanvallers en verdedigers, omdat frontiermodellen snel aanvalsstrategieën kunnen testen, van de resultaten kunnen leren en zwakke punten kunnen ontdekken.
"Om een betere verdediging op te bouwen, moeten we deze grensverleggende AI-modellen gebruiken als potentiële aanvallers om deze systemen te testen", vertelde Ren aan Decrypt.
Ren zei dat blockchain-netwerken vooral kwetsbaar zijn omdat hun open-sourcecode rechtstreeks kan worden geanalyseerd door geavanceerde AI-modellen, die aanvalsstrategieën snel kunnen testen en kwetsbaarheden sneller kunnen identificeren dan traditionele beveiligingsbeoordelingen.
"Als je denkt aan grensmodellaboratoria als OpenAI, Anthropic en Google DeepMind, hebben ze eerder toegang tot de sterkste ongepubliceerde modellen en kunnen ze veel experimenten uitvoeren op openbare netwerksystemen zoals blockchains, dus ze hebben de macht bij de hand", zei hij. “Als iemand met kwade bedoelingen toegang zou hebben tot deze mogelijkheden, zou hij aanvallen kunnen uitvoeren en kwetsbaarheden kunnen creëren.”
Dat venster sluit mogelijk sneller dan velen verwachten, en volgens Danny Jenkins, CEO en mede-oprichter van cyberbeveiligingsbedrijf ThreatLocker, verbetert de AI-ondersteunde detectie van kwetsbaarheden sneller dan veel organisaties de software kunnen beveiligen waar ze al op vertrouwen.
"We hebben een enorme kloof die jaren en jaren zal duren om te doorbreken", vertelde Jenkins aan Decrypt. "Al deze software zal al deze kwetsbaarheden bevatten, we zullen er lange tijd geen oplossingen of updates voor hebben, en mensen zullen deze kwetsbaarheden zeer snel kunnen vinden."
Jenkins zei dat AI het onderzoek naar kwetsbaarheden niet zozeer fundamenteel verandert, maar juist dramatisch versnelt. Taken waarvoor beveiligingsonderzoekers ooit code moesten beoordelen en software handmatig moesten reverse-engineeren, kunnen nu door moderne modellen binnen enkele seconden worden uitgevoerd.
"Pre-AI, cyberdreigingen en exploits namen elk jaar toe", zei hij. "Post-AI is nog sneller geworden, en ik denk dat het om twee redenen sneller is geworden. Eén daarvan is dat je nu AI kunt gebruiken om kwetsbaarheden en exploits te helpen vinden, en het aantal mensen dat daartoe in staat is, is enorm gegroeid. Je hoeft nu geen scriptkidddie te zijn."
Ondanks deze risico’s betoogde Goertzel dat crypto mogelijk ook beter gepositioneerd is dan andere industrieën om zich aan te passen, omdat de code open is en de gemeenschappen zeer op veiligheid gericht zijn.
“Crypto staat het dichtst bij de deur, maar het is ook het deel van de kamer dat de deur kan zien aankomen”, zei hij.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!