AI 駭客時代來臨：Claude 揪出 Zcash 隱藏四年漏洞，加密產業資安防線告急

AI 具備「推理」能力，資安審計模式面臨典範轉移

近期，安全研究員 Taylor Hornby 在 Shielded Labs 的委託下，利用 Anthropic 的 AI 模型 Claude Opus 4.8，在短短幾天內發現了 Zcash 隱藏長達四年的關鍵漏洞。該漏洞位於 Orchard 隱私池的兩行程式碼中，由於檢查機制未能有效執行預期規則，攻擊者理論上可繞過檢測，在隱私池內偽造 ZEC 代幣。此消息曝光後，ZEC 幣價一度重挫約 38%，引發市場對 AI 威脅論的廣泛討論。

SingularityNET 創辦人兼執行長 Ben Goertzel 表示，AI 的威脅不在於它能發現漏洞，而在於它「發現漏洞的類型」已經改變。過去 AI 多用於標記明顯的程式碼錯誤，但現在的頂尖模型已具備推理能力，能判斷軟體行為是否符合設計初衷。他認為，這標誌著資安研究的重大轉變：

「我認為這是一個難以低估的轉變初期訊號。安全研究不再只是少數專家進行緩慢、手工式的深度審計，這種模式雖然不會消失，但已不再是唯一的核心。」

Goertzel 指出，AI 模型現在能識別智慧合約錯誤、存取控制失效以及軟體行為偏離設計目標等細微邏輯漏洞。未來的資安防禦將轉向由人類專家監督、AI 驅動的持續性審計模式。

區塊鏈成為 AI 攻擊的「壓力測試場」

南加州大學電腦科學教授、Sahara AI 執行長 Sean Ren 則警告，區塊鏈網路因程式碼完全開源，極易受到 AI 模型的直接分析。AI 不僅能快速測試攻擊策略，還能從結果中學習並找出系統弱點。

「為了建立更好的防禦，我們必須將這些頂尖 AI 模型作為潛在攻擊者，對系統進行壓力測試，」Ren 表示。他強調，OpenAI、Anthropic 和 Google DeepMind 等實驗室擁有最強大的未公開模型，若惡意人士取得同等能力，將能以遠超傳統審計的速度發動攻擊。

資安漏洞挖掘進入「加速期」

網路安全公司 ThreatLocker 執行長兼共同創辦人 Danny Jenkins 認為，AI 並未從根本上改變資安研究，而是「戲劇性地加速」了過程。原本需要研究員手動審查程式碼並進行逆向工程的任務，現在只需幾秒鐘即可完成。

Jenkins 指出，AI 降低了攻擊門檻，使得具備漏洞挖掘能力的人數大幅增加，「現在你不需要是個腳本小子（script kiddie）就能發動攻擊。」儘管風險加劇，Goertzel 仍樂觀認為加密產業具備優勢，因為其程式碼開源且社群高度重視安全性，「加密產業雖然站在風口浪尖，但它也是最能預見這場變革即將到來的領域。」