目錄

• 你可能想知道
• 主要主題
• 關鍵見解表
• 後續…

你可能想知道

AI 驅動的分析是否能在其他以隱私為重點的加密貨幣（如 Monero）中發現類似的長期存在的漏洞？

促使研究人員選擇揭露 Zcash 漏洞而非利用它的動機是什麼，這對未來審計有何影響？

主要主題

安全工程師 Taylor Hornby 最近使用 Anthropic 的 Opus 4.8 AI 模型在 Zcash 的代碼庫中識別出一個重大缺陷。該漏洞位於 Orchard 隱私池，並自 2022 年 5 月起存在。如果被利用，可能會允許在不被檢測的情況下創造偽造的 ZEC 代幣，對網路的完整性構成重大風險。Hornby 在 5 月 29 日發現該問題並負責任地披露，這讓 Zcash 社群能在 6 月 1 日前實施緊急修補。

此次披露源自專業委託：Hornby 受 Shielded Labs（為 Zcash 協議工作的非營利開發者組織）聘用，進行預防性安全研究。他的職責是定位並報告潛在的協議弱點，以防惡意行為者利用。Hornby 選擇向開發者報告該漏洞，而不是將其做為武器化工具。他形容 Zcash 的開發者社群「像家人」，並表示利用該漏洞將是對信任的背叛——這是他無法接受的決定。Hornby 也打算申請 Zcash 持幣者補助，以支持持續的審計工作。

Zcash 漏洞產生了顯著的市場影響。在公開披露和緊急補丁之後，Zcash 的價格大幅下跌——約在 24 小時內下跌了 38% 左右——投資者對可能早前已發行未被檢測的偽造代幣的可能性做出反應。此事件強調了隱私保護區塊鏈組件中的潛在軟體缺陷在被揭露時，可能同時引發技術與經濟上的混亂。

Hornby 表示，他接下來將審核 Monero 以及其他注重隱私的加密貨幣。Monero（代號：XMR）在設計上不同於 Zcash：Monero 預設強制隱私並對所有用戶遮蔽交易細節，而 Zcash 則在透明地址與隱匿地址之間提供選擇。Monero 的架構與密碼學基礎構成了不同的攻擊面，Hornby 計劃將其納入審計隊列，凸顯一個更廣泛的關切——強大 AI 工具能加速對各種密碼學實作中深層、長期存在漏洞的發現。

這一關鍵見解顯著影響了對 AI 如何改變漏洞發現的理解：自動化分析能浮現細微且存在多年的錯誤，而人類審查可能會忽略，這既增加了防禦機會，也帶來潛在攻擊風險。 隨著 AI 模型變得更強大，安全研究人員可以利用它們更有效率地掃描複雜的代碼和密碼協議，但攻擊者也可能同樣運用。負責任的披露做法與及時修補在此情境下變得更加重要。

此事件亦提出了開源加密貨幣專案在治理與資金方面的問題。安全研究人員經常需要資源——時間、工具，甚至是財務支援——來執行徹底的審計。Hornby 打算尋求持幣者補助以資助此類工作，指出一種為這類工作提供資金的機制，並暗示網路可主動投資第三方審計以降低系統性風險的模式。

最後，Zcash 事件凸顯了隱私功能與可審計性之間的權衡。隱私保護的池和協議可能會遮蔽審計員或監測者用以檢測異常的常規鏈上訊號。這種不透明性雖然對用戶隱私有價值，但會使發現被利用的情況更困難。強化審計流程、鼓勵負責任披露，並探索在隱私與可驗證性間取得平衡的技術措施，將是未來的重要課題。

關鍵見解表

後續…

展望未來，有幾個技術與實務領域值得深入探討，以降低類似事件發生的可能性與影響。首先，將先進的自動化分析（包含 AI 輔助工具）整合到常規安全審計流程中，可以幫助更早發現細微缺陷。然而，這些工具必須經過驗證並與人類專業知識結合，以減少誤報並確保正確的解讀。

第二，應擴大對獨立審計的資金模式。補助、漏洞賞金與機構支援可以幫助維持對開源協議的持續安全審查。主動投資於審計的網路更有可能對突發狀況具備韌性。

第三，研究既能保護隱私又能被審計的機制，或可協助調和機密性與可驗證性之間的張力。像零知識證明、可驗證計算以及具選擇性披露的安全日誌等技術，值得進一步關注，以在不侵蝕使用者隱私的情況下提供取證能力。

最後，社群應持續發展並成文化負責任披露準則與緊急應變程序。研究人員、開發者與網路利害關係者之間的迅速協調——並對使用者保持透明溝通——將在嚴重漏洞浮現時減輕技術與市場上的衝擊。 現在著手探索這些領域，將強化加密貨幣生態系統，抵禦由於先進 AI 輔助分析與演進中的攻擊技術所帶來的雙重挑戰。