Claude Opus 4.8找到45億的虫子, 黑客

文正睡著

有人利用Claude Opus 4.8找到一個漏洞,它蒸發了加密貨幣的市價45億美元。

起始點是安全調查 Zcash是一個舊的隱私網路。

5月29日,安全研究者泰勒·霍恩比(Taylor Hornby)在對Shield Labs委托的協議的稽核中,發現果園有一個嚴重的漏洞,讓攻擊者制造出一個不該存在的符號,即"無限增加"。

Zcash後來在數天內完成了緊急更新, Zcash在6月5日發表正式聲明後下降了50%。

Anthropic的Opus 4.8于5月28日公布。

不,神話,奧普斯

Zcash的故事很可怕 不是AI 但這次太普通了。

在此之前,對保安業的真正恐懼是 克勞德·神話預告片《安特羅皮克》 2026年4月, Anthropic 發表了網路安全能力的評估, 說Mythos Preview能在主流操作系統和瀏覽器中辨識和使用零天漏洞。

也讓Mythos Preview在晚上尋找遠端密碼實施漏洞。

過去只有少數人持有的長期能力, 這種能力本身就沒有地位,不同的是,誰使用它,用它做什么。

雅典人自己也明白 所以它有了格拉斯溫專案 首先把Mythos Preview 交給幾個組織做防衛安全工作 更嚴格的用法限制。

技術師並未使用仍鎖定的神話。

AI已進入安全领域, 它讓維護者更快地找到漏洞。

而且,最危險的模型不一定是最強的,而是最強大,最便宜和最普及的模型。

模特兒越平凡 人就越能接 所以問題不在于AI能否找到漏洞。

當尋找虫子時,它會變成一個群眾運動

艾爾會找到兩件便宜的東西。

一份假安全報告 大量安全報告 看起來是正宗的 體面上沒有證實 另一個是真實的, 而過去在系統深處隱藏的漏洞。

前者會淹沒維護者 而后者會穿透系統 而且更麻煩的是,他們會同时來。

網絡安全有一套理想的叙事:白帽子找到漏洞。

过去很多次,世界的确遵循了这一叙述。 但當AI推下「發現漏洞」的门槛時, 許多人只是模仿一個提示, 報告不一定是真的。

但無論是否是真的。

OpenSSF於2026年2月就「AI垃圾報告」進行討論, Curl指出, 到2025年, 只有5%的獎勵呈文是真正的漏洞, OpenSSF表示。

開源维护者不是客戶服務中心 。 許多人沒有薪水, 但一項計畫可能支持全球數不盡的企業系統。

curl後來關閉了漏水獎項 因為人們無法成功 安全報告原本是防線的一部分。

AI讓更多人能報告漏洞, 模式能產生報告, 並不意味它能理解, 也不意味它能穿過認證碼的一部分。

更重要的是,我們生活在一個 有很多洞能用AI找到的世界裡。

我們過去很安全

網路給人最大的幻覺。

手機可以付錢,地鐵可以打掃,醫院可以放數據;連十年前你的照片都在云中,你忘了。 這些東西每天都在工作 所以我們同意他們沒有問題 人們對科技的信任 在许多情况下 不是信任 而是懷疑。

但代碼就像一座老建筑, 根据舊協議, 大樓的燈亮著 電梯上下 地產說一切都正常 沒人知道牆上有沒有裂缝。

心血是經典 OpenSSL的漏洞讓攻擊者讀取伺服器記憶體中的私密金鑰和密碼,但直到2014年才被發現和修复. 過去兩年多來, 全世界60%以上的網站都在受影響的伺服器上運作。 兩年來。

還有蘇多的男爵薩梅迪特 Qualys在2021年透露, 這個漏洞在Sudo已存在近十年。

有很多相似的例子。 突然感覺我們很幸運能安全地衝上網路。

這些洞怎麼這麼久沒發現

答案很簡單:找漏洞太貴了。

成本不僅是錢, 要讀取代碼, 設定環境, 了解協議, 重複邊界條件, 寫下認證代碼, 有時這項計畫一整夜沒有結果, 在現實中,安全研究者和黑客常常用一堆破碎的細節互相折磨。

過去許多漏洞可以保持那麼久。

AI改變了成本结构。

太多的角和太少的手電筒。 現在手電筒要發了。

同樣的手電筒可以在裂缝和可以拿的地方看到. 也讓「攻擊」更便宜。 今天用它來向開源計畫提交低質報告的人。

在普通的網絡後面

我們無法感受到網路安全的存在。

你打開支付財寶 掃描 支付 賬單 整個流程可能不到三秒 你無法想像有多少規則 控制風力, 設備指紋, 行為認同。

2026年5月,AntSRC,AntSRC,AntSRC,Ant Security Responsibility Center, 進行了"獵人行動"的缺口激励, 在支付交易、基金和賬單方面。

大型植物也很清楚, 他們不能單靠自己的內部團隊找到所有問題, 所以必須將外在的白帽子安排在正式的流程中。 安全更像是一連串的合作:攻擊被探測、驗證、分級、修复、公布, 此鏈中的任何部分都不能被打破 。

Aliyun在2025年10月的安全态势報告中寫道, 云平台每天平均有624.5億名客戶失聯攻擊。

我們通常稱之為「正常網路接入」, 網絡從不安靜。

開源維持者沒有預算, 沒有行程, 沒有緊急應應應團隊; 然而,即使是大型植物也可以依靠長長的人類合作鏈,以至普通使用者沒有感受到。

在AI大规模介入前, 現在你倒了雙面漏洞 雙面報告 是否足以維護這個目的

我們找到漏洞后 誰會修好它

ISC2的2024 CYBERSECURITY TALENT REPORT估計全球约有550萬位網路安全實驗者, 該組織認為它需要充分保護, 以及真正可以提供的人。

這套數字意味著簡單: 漏洞很多, 人數不足 。

而且這不只是人頭的缺乏,而是工作複雜的人的短缺. ISC2也提到,67%的受访者表示其组织內缺乏網路安全人员,其中58%的人感到,这一不足使该组织面临重大風險。 31%的人說他們的安保隊伍沒有起碼级别的員工, 許多組織不仅缺乏人力資源。

找誰更麻煩 今天,沒有人被招募;沒有低級工作人员,也沒有人被招募。

2025年46.2%的受訪工人在稅前每年收入20萬至30萬美元。 市場愿意為核心人物付出代價, 也顯示有56.5%的從事者說AI更注重分析複雜的威脅。

這很重要。

我們現在最需要的就是一個在深夜讀取漏洞的人, 安全從來就不是光之事 但這是個髒事 把"网保"字拆分. 只是假報告 背包 無止境的補貼 無止境的會面 以及早上3點把你吵醒的電話。

它從沒消失過

卡摩斯寫了一本小說"瘟疫"。

故事发生在北非的一個小鎮。 瘟疫突然爆發,城門關閉,所有人都被困在里面。 日常生活在一夜之间破裂。 人們恐慌,然後麻木,然後習慣它。 直到瘟疫終於消退。

卡穆在小說的最后說道:「根據醫療記錄, 也許有一天瘟疫將喚醒他的群眾,他們將被葬在一個快樂的城市中,那將帶回疾病和新的教訓

我總覺得這是個很好的詞 代表一個網路漏洞。

它不是在發現那天出生的 它早就在密碼裡了 沒人聽到它呼吸 所以我們誤會了沉默。

我們已經習慣日常生活 不再懷疑了 他們都在密碼上 代碼中包含舊債務, AI來的時候,有很多人需要付出代價。

不只是黑客得到更多。 處理問題的人數並未成比例地改變。

這是安全時代最難的一部份 找個漏洞越來越便宜, 但信任只能由一個系統和一个團隊慢慢恢复。

艾爾不會在一夜之間毀掉網路的 這更像是開燈 數位生活從來就不是自然秩序。

真正貴的是找不到漏洞 因為沒有足夠的人愿意逐一修補洞穴。