最新一代的前沿AI模型不再只是与用户聊天、生成图像或编写代码。研究人员越来越多地使用 Anthropic 的 Claude Mythos 和 Claude Opus 4.8 以及 OpenAI 的 GPT-5.5 等系统来识别软件漏洞,这引发了人们对这些功能广泛使用时会发生什么情况的担忧。
本周,Zcash 开发人员披露 Claude Opus 4.8 帮助发现了一个关键漏洞,该漏洞可能使攻击者能够铸造无限的 ZEC,加密货币投资者对强大的人工智能日益增长的威胁敲响了警钟。由于网络的设计,目前没有办法确定是否真的铸造了假冒 ZEC,而这种不确定性导致了 ZEC 的价格本周晚些时候暴跌。
专家警告说,随着人工智能软件的功能变得越来越强大,并且这些工具变得越来越容易使用,在未来几周和几个月内可能会发现更多漏洞。以下是日益严重的威胁,以及它对加密世界的影响。
早期的人工智能模型被专业用作编码助手,帮助开发人员编写、解释和调试软件。随着技术的改进,研究人员开始使用相同的系统进行代码审查、软件审计和漏洞研究。
从编码助手到安全工具的转变恰逢人工智能在软件开发中的使用方式发生更广泛的转变。 2025 年推出 Claude Code 后,Anthropic 报告其工程团队中人工智能生成的代码急剧增加,反映出从建议代码的模型到能够编写和运行代码的系统的转变。
安全专业人士表示,其影响不仅仅限于帮助开发人员编写代码。
“人工智能比大多数人更擅长审查代码并发现其中的潜在漏洞,”ThreatLocker 的首席执行官兼联合创始人 Danny Jenkins 告诉 Decrypt。詹金斯表示,当前的人工智能系统已经在加速漏洞发现,而 Mythos 等新模型可以显着扩展这些功能,称其为迫在眉睫的“大问题”。
“坏人迟早会获得它,”他说。
根据 Jenkins 的说法,人工智能还降低了漏洞研究的进入门槛,让更多的人能够分析代码、识别弱点并开发漏洞。随着对功能日益强大的系统的访问范围不断扩大,他预计漏洞发现的速度将会加快。
“在人工智能出现之前,网络安全威胁和漏洞每年都在增加,”他说。 “后人工智能时代,它变得更快,我认为它变得更快有两个原因。一是你现在可以使用人工智能来帮助查找漏洞和漏洞利用,并且有能力做到这一点的人数已经大幅增加。你现在不必成为脚本小子。”
随着人工智能系统变得更加强大,公司开始将其应用于网络安全。周二,Anthropic 扩大了对 Project Glasswing 的访问权限,为 150 家公司和机构提供了 Claude Mythos 的访问权限,以帮助在模型更广泛发布之前识别和修复软件漏洞。
4 月,Mozilla 后来披露,Anthropic 的模型帮助识别了它在 Firefox 网络浏览器中修复的数百个漏洞,而 Calif 的研究人员在工作中使用了 Mythos Preview,产生了第一个公开漏洞针对 Apple M5 芯片。
前 Google DeepMind 和 Anthropic 研究员、现任安全公司 Aisle 创始人兼首席科学家 Stanislav Fort 表示,对人工智能驱动的漏洞发现的担忧是有道理的,但经常被误解。
“天真的反应是尝试把关对强大模型的访问。我认为这本质上是隐匿性安全,而隐匿性安全是该领域最糟糕的想法之一,”Fort 告诉 Decrypt。 “零日发现的能力已经广泛分布在任何人都无法限制的模型中。试图将其限制在前沿并不能消除风险;它只是延迟了风险,同时也减慢了最需要这些工具的防御者的速度。”
Fort 表示,更大的风险是防御者,尤其是开源维护者,可能无法访问与攻击者相同的高级人工智能工具。
“这种不平衡才是真正的危险,”他说。 “答案不是限制;而是防守体系的民主化。”
Anthropic 并不是唯一一家推动针对网络安全的人工智能模型的公司。 5 月份,微软推出了 MDASH,这是一种代理漏洞发现系统,该公司表示该系统有助于识别以前未知的 Windows 漏洞。
加密货币的风险
加密货币和 DeFi 开始感受到人工智能驱动的错误搜寻的影响。区块链项目一直是有吸引力的目标,因为涉及大量资金,而且大部分代码都是公开的。詹金斯表示,随着人工智能在发现软件缺陷方面变得越来越好,开源加密项目可能会成为寻找漏洞的安全研究人员和寻求利用这些漏洞的攻击者更容易的目标。
独立安全研究员 Taylor Hornby 披露了他在 Claude Opus 的帮助下发现的 Zcash Orchard 隐私池中的关键漏洞,这是先进人工智能模型如何帮助研究人员发现经过多年人工审查的漏洞的最明显示例之一4.8.
该缺陷可能允许攻击者创建无限的伪造 ZEC,并且在被修补之前多年来一直未被发现。目前尚不清楚该漏洞是否实际被使用。
“该漏洞从 2022 年 5 月 Orchard 激活到 2026 年 6 月 1 日部署紧急修复程序期间一直存在,”Zcash 开发背后的组织 Shielded Labs 在一篇披露帖子中写道。 “由于 Orchard 的隐私属性和错误的性质,没有明确的方法可以仅使用密码学来确定是否发生了此类利用。”
此次攻击发生之际,DeFi 协议正面临漏洞利用最严重的年份之一。2026 年前 5 个月,DeFi 项目被盗金额超过 8.4 亿美元,其中仅 4 月份就被盗的项目超过 6 亿美元,其中包括 KelpDAO、和漂移协议。
所谓的“vibe hacking”的兴起,攻击者使用人工智能编码代理来自动执行侦察、凭证盗窃、恶意软件开发和其他任务,这引起了人们的担忧,即人工智能正在降低实施复杂网络攻击的障碍
Web3 安全平台 CertiK 的高级区块链调查员 Natalie Newson 表示,虽然 4 月份的加密货币漏洞攻击异常严重,但更广泛的趋势仍然更加稳定,并且低于过去几年的事件峰值数量。
“2026 年 4 月对于加密货币漏洞来说是糟糕的一个月;只有三天没有发生至少 10,000 美元被盗的漏洞,”她说。 “然而,当我们从更广泛的角度来看时,事件数量(不包括网络钓鱼)可以说相当一致,并且仍然低于 2023 年的峰值。”
Blockaid 首席技术官 Raz Niv 表示,虽然人工智能使 DeFi 攻击更容易实施,但更大的风险不是人工智能取代黑客,而是放大黑客,让攻击者能够专注于更复杂的技术,而人工智能则处理日常任务。
“好消息是防御者可以使用相同的工具,”他说。 “人工智能辅助监控和模拟对于试图跟上步伐的安全团队来说变得至关重要。”