重點摘要

像 Claude Mythos、Claude Opus 和 GPT-5.5 等前沿 AI 模型越來越多被用來在瀏覽器、作業系統和開源專案中尋找軟體弱點。這項能力幫助揭露了 Zcash Orchard 隱私池中的一個關鍵缺陷，該缺陷可能允許無限偽造 ZEC。 這起事件突顯出 AI 如何迅速降低弱點研究門檻，以及其在防禦與攻擊兩方面的潛在用途。 專家敦促應擴大對防禦工具的取得而非保密，並警告限制模型只會延緩保護，攻擊者反而會適應。

情緒分析

• 總體情緒是混合的，偏向對安全風險的擔憂，同時也承認其防禦上的好處。語氣既承認正面用途（更快的稽核、改善的防護），也指出負面影響（更容易開發漏洞利用、讓加密領域的攻擊面擴大）。
  65%

文章內文

近期大型且具能力的 AI 模型進展已改變軟體開發與資安的運作方式。起初作為協助程式碼生成與除錯的工具，這些系統已演進為研究人員用來稽核程式碼、發現邏輯錯誤與揭露弱點的系統。像 Anthropic 的 Claude Mythos 與 Claude Opus，以及 OpenAI 的 GPT-5.5 等模型，現在已成為跨多個平台（包括網頁瀏覽器、作業系統與開源函式庫）弱點研究工作流程的一部分。

在安全性發現方面使用前沿模型已帶來實際後果。在一個顯著案例中，研究人員提到在辨識 Zcash 協議 Orchard 隱私池的關鍵弱點時使用了 Claude Opus 4.8。該缺陷自 Orchard 在 2022 年啟用以來即存在，並於 2026 年修補，可能讓攻擊者鑄造偽造的 ZEC。由於 Orchard 採取了保護隱私的設計，密碼學證據無法確定性地顯示該漏洞是否被利用，而這種不確定性加劇了市場的劇烈反應。

資安專業人士描述了 AI 驅動弱點發現的兩大影響。首先，這些系統在審查與推理程式碼方面極為有效，常能揭露人為審查遺漏的問題。其次，AI 降低了進行嚴肅弱點研究的技術門檻——這一過程過去需要專門技能與經驗。因此，現在更多人可以分析複雜的程式碼庫，增加了缺陷被發現的速度。 這種能力的普及化對防守方有利，但也提高了惡意行為者採用相同方法的風險。

對此趨勢的回應不一。有些人主張限制對最強模型的存取以降低攻擊用途。另一些人則反駁說封鎖工具無效，且會對防守方造成傷害，特別是需要先進工具來保護廣泛使用軟體的開源維護者。主張擴大防禦性存取的人認為，限制模型只會使防守者放慢腳步，而攻擊者會尋找替代途徑。實務上，有幾家公司正嘗試受控計畫，讓經審核的組織存取專門模型，以協助在公開釋出前尋找並修補弱點。

加密貨幣與去中心化金融（DeFi）領域對這些發展特別敏感。區塊鏈專案經常公開程式碼並持有大量價值，使其成為具有吸引力的目標。AI 加速的發現意味著長期存在的漏洞可能更快被找到並可能被利用。Zcash 的 Orchard 事件就是一個明顯例子：一項微妙的密碼學或實作錯誤在多年內持續存在，直到對程式碼庫應用先進模型後被發現。

產業觀察者指出，雖然 AI 可能促成攻擊，但也賦能防守方。資安團隊可以使用相同的模型進行自動化稽核、監控、模擬與快速分流。關鍵挑戰是確保公平：防守方，包括關鍵開源專案的維護者，必須能取得有效的工具與資源。若無此平衡，優勢可能傾向採用 AI 來自動化偵察、憑證竊取與漏洞生成的攻擊者。

除了工具存取外，最佳實務仍然重要：徹底的程式碼審查、可重現的測試、及時修補與多層防禦，即使在出現新發現技術時也能降低風險。平台維護者、模型提供者與資安研究人員之間的協作，也有助於協調負責任的揭露與快速緩解。政策制定者與產業團體可能需要考慮鼓勵防禦性民主化而同時抑制濫用的框架。

展望未來，隨著模型改進並變得更易取得，弱點發現的速度可能會加快。結果將取決於資安社群如何回應：防守方是否取得同等能力、負責任揭露的規範是否適應、工程實務是否演進以預見 AI 增強的分析。Zcash 案提醒我們，技術性的防護與透明的協調對於維持處理大量價值與隱私之系統的信任至關重要。

關鍵見解表