Протокол Zcash прошел проверку ИИ: серьёзных уязвимостей не обнаружено

Основатель Zcash Зуко Уилкокс (Zooko Wilcox) сообщил, что аудит безопасности, проведённый с помощью ИИ-модели Anthropic Mythos, не выявил серьёзных уязвимостей в протоколе ориентированной на приватность криптовалюты — и это по итогам устранения обнаруженного ранее бага подделки транзакций.

Аудит по заказу Shielded Labs

Проверку инициировала Shielded Labs — швейцарский некоммерческий фонд поддержки разработки Zcash. По словам Уилкокса, ИИ-аудит не обнаружил «никаких новых серьёзных багов» в протоколе Zcash.

3 июня разработчики Zcash временно приостановили транзакции в пуле Orchard после обнаружения уязвимости в защищённом пуле. В тот же день через экстренное обновление функциональность была восстановлена. Причиной стал баг подделки данных четырёхлетней давности в защищённом пуле Orchard — его нашёл исследователь безопасности Тейлор Хорнби (Taylor Hornby) при содействии модели Claude Opus 4.8. Фонд Zcash подтвердил, что признаков эксплуатации уязвимости выявлено не было, несанкционированного создания монет не зафиксировано, а конфиденциальнным данным пользователей ничто не угрожает.

ИИ-модели: инструмент защиты и угроза одновременно

Пока разработчики используют новые ИИ-модели для поиска уязвимостей, та же технология порождает новые риски для индустрии.

На днях Anthropic выпустила первую публичную версию модели Claude Mythos — Fable 5. Ещё месяцем ранее компания сообщала, что Mythos выявила более 10 000 уязвимостей высокой и критической степени серьёзности в «системно значимом программном обеспечении». Это вызвало острые дискуссии о том, стоит ли делать такую модель общедоступной.

Anthropic заверила пользователей, что Fable 5 «адаптирована для широкого применения» и оснащена защитными механизмами: запросы по ряду тематик, в том числе по кибербезопасности, автоматически перенаправляются к модели Claude Opus 4.8. Однако уже через несколько дней компания приостановила доступ к моделям Fable 5 и Mythos 5 — по требованию американских регуляторов в рамках экспортного контроля, со ссылкой на соображения национальной безопасности.

«Апокалипсис уязвимостей» в DeFi

Распространение мощных ИИ-моделей меняет расстановку сил в кибербезопасности — и не в пользу защитников. Глава платформы по поиску багов Immunefi Митчелл Амадор (Mitchell Amador) описал происходящее как «апокалипсис уязвимостей»: злоумышленники получают инструменты, которые прежде были доступны лишь опытным исследователям безопасности, что подстёгивает волну взломов в сфере децентрализованных финансов (DeFi).

Статистика подтверждает тревогу: по данным DefiLlama, в апреле потери от взломов в криптоиндустрии достигли $634 млн — наибольший месячный показатель со времён взлома Bybit, когда в феврале 2025 года было похищено около $1,4 млрд.

Итоги аудита Zcash демонстрируют, что ИИ способен эффективно выявлять уязвимости до того, как ими воспользуются злоумышленники. Вместе с тем приостановка доступа к Fable 5 и Mythos 5 по требованию властей США указывает на то, что регуляторы всё внимательнее следят за распространением наиболее мощных ИИ-инструментов.

Мнение ИИ

С точки зрения архитектуры протоколов с нулевым разглашением (zero-knowledge proof) ситуация с Zcash поднимает вопрос, выходящий за рамки конкретного инцидента. Баг просидел в схеме Halo2 четыре года — и это не исключение, а скорее правило: специалисты Veridise фиксируют критические уязвимости в каждом ZK-аудите, который проводят. Проблема системная — математически сложные схемы ограничений плохо поддаются ревью человеческим глазом, и именно здесь ИИ-модели получают структурное преимущество над традиционными аудиторами.

Ключевой вопрос, который история с Zcash оставляет открытым, касается скорее ненайденных уязвимостей. Приватность пула Orchard по своей природе исключает возможность ретроспективной проверки эмиссии ZEC за четырёхлетний период — именно поэтому Shielded Labs готовит предложение по механизму «турникета» для верификации целостности предложения монет. Насколько ИИ-аудит способен закрыть этот структурный пробел — пока остаётся открытым вопросом.

Источник