Claude Opus 4.8는 AI 시대 동안 대량 생산 된 $ 4.5 억 버그를 발견했습니다. 해커
AI의 보안 시대에서 능력은 스스로 퍼지고 책임이 없습니다。
원 ZhengSleepy
누군가는 Claude Opus 4.8를 사용하여 암호화 통화의 시장 가치를 평가하는 버그를 $ 4.5 억。
시작점은 보안 감사입니다. Zcash는 Zero-knowledge proof로 거래 정보를 보호하는 오래된 개인 정보 네트워크이며, Orchard는 프라이버시 기술의 핵심입니다。
5 월 29 일 보안 연구자 Taylor Hornby는 Shield Labs가 의뢰 한 계약 감사에서 Orchard가 존재하지 않는 토큰을 만들 수있는 심각한 루프홀이 있었음을 발견했습니다。
Zcash는 며칠 내에 비상 업그레이드를 완료했지만, 공식적으로 루프홀이 존재했지만 추가 토큰의 발급에 사용되었는지 확인 할 수 없었습니다. Zcash는 6 월 5 일에 발행 된 공식 성명 후 50 %로 떨어졌다。
Anthropic의 Opus 4.8는 5 월 28 일에 출시되었으며 다음 날이 루프홀이 발견되었습니다。
아니, Mythos, Opus
Zcash의 이야기는 무서운 것, 아니 AI, 하지만 그것은 너무 정규적인 이 시간。
그 전에 보안 산업의 실제 두려움은 Anthropic의 Claude Mythos Preview였습니다. Anthropic은 4 월 2026에서 사이버 보안 기능의 평가를 발표했습니다. Mythos Preview는 테스트에서 주류 운영 체제 및 브라우저의 Zero-day 구멍을 식별하고 사용할 수 있다고 말했습니다. 몇 년 전 27 년 전에 OpenBSD의 버그 중 하나가 매우 숨겨져있었습니다。
이 평가는 보안 배경이없는 엔지니어도 Mythos Preview를 허용하여 원격 코드 구현 루프홀을 찾고 다음 날을 깨고 가능한 공격 코드의 전체 세트를 참조하십시오。
이것은 이전에 작은 사람들의 수에 의해 개최 된 장기적 능력은 누구에게도 접근 할 수있는 서비스가되고 있음을 의미합니다. 이 기능은 자체에 위치가 없으며, 차이점은 누구가 그것을 사용하고 무엇을 사용하는지에 속합니다。
Anthropic 자신 이해. 그래서 그것은 Project Glasswing, 최초의 손수 만든 Mythos Preview는 방어적인 보안 작업을 위해 몇 가지 조직에. 또한이 레벨 모델은 더 큰 보호와 더 엄격한 사용 제약을 모두 열 수 있음을 인정합니다。
그러나 이 경우에 Zcash에서는, 기술공은 아직도 잠긴 Mythos를 사용하지 않았습니다, 그러나 Opus 4.8는, 간행하고, 사용된, 정상적인 인간적인 시내를 입력했습니다。
AI는 큰 팀 감사 수용량을 가진 작은 팀을 제공하는 안전 분야에 들어갔습니다. 그것은 수비수가 버그를 더 빨리 발견하고 공격자는 시스템을 더 빨리 읽을 수 있습니다。
또한, 가장 위험한 모형은 반드시 가장 강합니다, 그러나 충분히 강한 모형, 충분히 싼 및 충분히 보편적인。
더 일반 모델, 더 많은 사람들이 그것을 선택할 수 있습니다. 그래서 질문은 AI가 루프 홀을 찾을 수 있는지 여부, 그러나 모두가 그것을 찾을 때 무슨 일이 일어나는。
버그를 찾고, 그것은 대량 운동으로 전환
AI는 싸면 두 가지를 찾을 수 있습니다。
잘못된 보안 보고서, 엄청난 수의 보안 보고서로 인해 악화되고 물리적으로 무효화됩니다. 다른 것은 사실이며, 전문가의 주 또는 달을 발견하는 시스템에 숨겨져있는 반복은 빠릅니다。
전은 유지 보수자 및 후자는 시스템을 관통합니다. 그리고 더 많은 문제로, 그들은 동시에 올 것입니다。
Cyber security had a ideal set of narratives: 화이트 모자 발견 구멍, 책임 있는 공개, 제조업체 수리 및 사용자 혜택。
과거에 많은 시간,세계는 참으로 다음 달을 따랐다. 그러나 AI가 열린 모델에서 버그를 볼 수있을 때 "회복의 발견"의 문턱을 밀어 때, 보상과 명성을 원하는 많은 사람들과 함께왔다. 그들 중 많은 것은 단순히 힌트를 복사하여 모델이 괜찮은 보고서를 생성 할 수 있습니다. 보고서는 반드시 사실이 아닙니다。
그러나 사실이 아니라, 수비수는 심각하게해야합니다。
OpenSSF는 2 월 2026에서 "AI 쓰레기 보고서"에 대한 토론을 개최했습니다. 오픈 소스 유지 보수가 저품질, AI-generated 누출 보고서로 처리되어야합니다. Curl은 2025년까지 보상 제출의 약 5 %만이 진실한 루프홀이며, AI에 의해 생성 된 낮은 품질 함량과 같은 약 20 %를 보였습니다. OpenSSF는 DDoS와 같은 보고서의이 종류를 말한다。
오픈 소스 유지자는 고객 서비스 센터가 아닙니다. 그들 중 대부분은 지불되지 않습니다, 보안 팀이나 일정이 없습니다. 그러나 프로젝트는 전 세계의 카운트리스 비즈니스 시스템을 지원할 수 있으며, 오픈 소스에서 큰 비용을 절감하는 회사는 반드시 피셔에게 페니를 지불하지 않습니다. 그러나 한 번 뭔가가 발생하면, 그들은 다시 돌아가고 그들이 이전 수정하지 않은 이유를 묻습니다。
curl은 사람들이 그것을 만들 수 없기 때문에 누설 보상 프로젝트를 종료합니다. 보안 보고서는 방어의 선의 일부가되었지만, 보고서가 쓰레기로 채워졌을 때, 선은 그 뒤에 있던 사람들을 소모했습니다。
AI는 더 많은 사람들이 루프 홀을보고 할 수있는 능력을 제공하지만 여부를 판단 할 수 없습니다. 보고서를 생성하는 모델의 능력은 그것을 이해할 수 없다는 것을 의미하지 않습니다; 그것은 인증 코드의 조각을 통해 실행 할 수 없다는 것을 의미하지 않습니다, 또는 그것은 얼마나 많은 영향을 말할 수 있습니다。
그리고 무엇보다, 우리는 실제로 AI로 발견 할 수있는 많은 구멍이있는 세계에서 살고있다。
우리는 과거에 안전했다
인터넷은 사람들이 신뢰할 수있는 가장 큰 환상을 제공합니다。
휴대폰은 지불할 수 있습니다, 지하철은 청소할 수 있습니다, 병원은 수를 넣을 수 있습니다; 10 년 전의 그림은 구름에, 당신을 잊어버리십시오. 이 것들은 매일 일합니다. 그래서 우리는 전혀 문제가 없다는 것에 동의합니다. 기술에 있는 사람들의 신뢰는, 많은 경우에, 신뢰, 그러나 의심하지 않습니다。
그러나 코드는 오래된 계약 하에서 건축 된 오래된 건물과 같은, 오래된 볼트, 임시 필요와 "첫 줄"과 함께, 그것의 상단에, ancestral 코드 하나 dares 삭제. 건물에 빛이 켜져, 엘리베이터가 올라가고, 재산은 모두 정상이었다. 아무도 벽에 균열이 있는지 알고。
Heartbleed 이다 a 고전적인. OpenSSL의 루프홀은 공격자가 서버 메모리의 개인 키와 암호를 읽을 수 허용, 이는 발견되지 않았고 2014년까지 수리. 그 전에, 그것은 2 년 이상에 대 한 lurking 했다, 세계에서 활성 웹 사이트의 60 % 이상 영향을 받는 서버에서 실행 되었다. 2 년 동안 인터넷의 대부분은 거의 벌거 벗고 아무도 알지 못했습니다。
그리고 Sudo의 Baron Samedit. Qualys는 2021 년에이 루프홀이 거의 10 년 동안 Sudo에 존재했으며 Sudo는 세계에서 가장 일반적으로 사용되는 공인 도구 중 하나입니다。
많은 유사한 예제가 있습니다. 그들을 함께보고, 그것은 갑자기 우리가 오늘까지 인터넷을 안전하게 서핑 할 수있는 운이 좋은 느낌。
왜 이 구멍이 너무 오래 동안 발견되지 않았습니까
대답은 간단합니다: loophole를 찾는 것은 너무 비쌉니다。
비용은 돈이 아니지만 시간과 인내가 아닙니다. 코드를 읽고, 환경을 설정, 프로토콜을 이해, 국경 조건을 반복, 인증 코드를 작성, 충격을 판단, 당신은 거짓을 볼 필요가. 때때로 프로그램은 결과없이 모든 밤을 실행, 그리고 하나의 경로 끝과 그것은 작동하지 않습니다. 현실에서, 보안 연구원 및 해커는 종종 깨진 세부 사항의 무리와 서로 고문。
과거의 루프홀의 대부분은 오랫동안 유지 될 수 있지만, 그들은 너무 신비롭기 때문에, 심지어 기꺼이하고, 할 수 있기 때문에 찾고 계속 기꺼이。
AI는 이 비용 구조를 변경했습니다。
너무 많은 경적과 너무 적은 플래쉬 등. 이제 플래쉬 등은 배포 될 것입니다。
동일한 플래쉬 등은 균열에서 볼 수 있으며 어디로 갈 수 있습니다. 순간 그것은 "discovery"더 싼, 그것은 또한 "attack"더 싼 만들었습니다. 오픈소스 프로젝트에 대한 저품질 보고서를 제출하기 위해 오늘 사용하는 사람은 내일 같은 방식으로 회사의 시스템을 청소 할 수 있습니다; 오늘날의 생각은 누설 보상에 관한 것입니다, 내일의 생각은 체인에 돈에 대해있을 수 있습니다。
정상적인 인터넷 뒤에
뭔가 정말 일어난 전에, 우리는 인터넷 보안의 존재를 느낄 수 없었다。
지불 보물, 청소, 지불, 청구서, 전체 프로세스는 3 초 미만일 수 있습니다. 풍력 제어, 장비 지문, 행동 인식, 블랙 아웃 통합, 누출 응답 및 연속 계획의 많은 규칙을 상상할 수 없습니다。
5 월 2026, AntSRC, AntSRC, ant Safety Response Centre는 보물, 꽃, 대출, 부자, 네트워크 딜러, 디지털 및 부자 국제 지불을 커버하기 위해 테스트 된 "Operation Hunter" 격차 인센티브를 수행했습니다. 지불 거래, 자금 및 청구에 심각한 루프홀은 최대 $ 71,500의 5 배의 인센티브 금액으로 제공됩니다。
그것은 또한 그들의 자신의 내부 팀에 의해 모든 문제를 찾을 수 없었던 큰 식물에 명확했다, 그래서 그것은 형식적인 과정에 외부 백색 모자를 구성하는 데 필요한. 보안은 협업의 긴 체인과 비슷합니다. 공격은 감지, 검증, 등급, 수리, 출판 및 사람들은 정상적인 사용자를 아프지 않고 초점을 맞추고 있습니다. 이 사슬의 부속은 부서질 수 있습니다。
10 월 2025 보안 자세 보고서에서 Aliyun은 클라우드 플랫폼이 평균 62.45 억 명의 고객 환불 공격이 악의 IP 27.5 백만에 금지되어 있음을 썼습니다. 그리고 그 달, 모니터링 및 DDoS 공격을 차단하는 것은 2100 Gbps에 달합니다。
우리는 일반적으로 "정상적인 인터넷 액세스"라고 부르는 것은 실제로 보안 엔지니어가 질량 분석에서 우리를 위해 촬영 한 좁은 도로입니다. 인터넷은 결코 조용히。
오픈 소스 유지자 예산, 일정 없음, 비상 응답 팀; 큰 식물이 구입할 수 있습니다. 그러나, 심지어 큰 식물은 평범한 사용자에 의해 느꼈지 않는 범위에 인간의 협력의 긴 체인에 의존 할 수 있습니다。
그리고 이 긴, 공동의 얇은 사슬은 이미 AI의 다량 개입의 앞에 가득 차 있습니다. 이제 더블 루프홀, 더블 보고서를 붓고 있습니다. 이 끝을 방어하는 것이 충분합니까
우리는 루프홀을 찾을 때 누가 수정할 것인가
ISC2의 2024 CYBERSECURITY TALENT REPORT는 전 세계적으로 약 5.5 백만 명의 능동적 인 사이버 보안 실무자 인 것으로 추정되며 재능 격차가 4.8 백만 달러에 달하며 동시에 19 퍼센트가 증가했습니다. 그것은 설명, 특히, 이 “GAP” 채용 웹 사이트에 게시 된 작업의 수는 아니지만, 오히려 사람들이 조직의 간격은 적절하게 보호되고 실제로 사용할 수있는 사람들을 믿는다。
이 숫자의 세트는 간단합니다: 많은 반복성이 있고 충분한 사람들이 없습니다。
그리고 그것은 인간의 머리의 부족, 그것은 단지 복잡한 작업을 가진 사람들의 부족입니다. ISC2는 또한 응답자의 67 %가 조직의 네트워크 보안 인력 부족,이 부족한 위험에 조직을 배치한다는 것을 느꼈던 58 %에 대해 언급했습니다. THIRTY-ONE %는 보안 팀이 입장 수준의 직원을 가지고 있다고 말했으며 15 %는 1 ~ 3 년의 경험을 가진 JUNIOR 직원이 없었습니다. 많은 조직은 인간 자원뿐만 아니라 다음 세대를 준비하는 수단이 부족합니다。
아무도를 얻지 않는 것보다 더 많은 문제가 있습니다. 오늘은 아무도 모집되지 않습니다; 중학생은 아무도 모집되지 않습니다。
AI ERA의 CYBERSECURITY INDUSTRY의 인재 개발에 대한 NATIONAL REPORT는 또한 데이터 세트를 제공합니다 : 2025 년, 근로자의 46.2 퍼센트는 세금 전에 연간 $ 200,000 및 $ 300,000 사이에 적립되었습니다. 시장은 하드 코어 사람들을 위해 지불 할 것입니다, 정말 복잡한 위협과 사고 판결을 처리 할 수있는 너무 적은 사람들이 있기 때문에. 보고서는 또한 56.5 퍼센트의 실무자가 AI가 복잡한 위협을 분석하고 33.0 퍼센트가 전략 개발에 구현하는 것을 나타냅니다。
이것은 중요합니다。
우리가 가장 필요로하는 것은 이제 밤의 중간에 루프홀을 읽을 수있는 사람이며 충격을 판단하고 업스트림과 다운스트림을 조정하고 패치를 작성합니다. 보안은 빛의 사업이 아니었지만 더러운 사업입니다. "net security"를 입력합니다. 그것은 단지 거짓 보고서, 배낭, 끝없는 패치, 끝없는 회의, 그리고 전화는 아침에 3:00에 당신을 woke。
그것은 결코 사라지지 않습니다
Camus는 plague라는 소설을 썼습니다。
이 이야기는 북아프리카의 작은 도시에서 일어난다. plague 갑자기 broke out, 문을 닫고 모든 사람이 안쪽으로 갇혀 있었다. 일상 생활은 밤새 휴식. 사람들은 공황하고, 그 후에 그것을 이용했습니다. plague가 마침내 재회할 때까지 문이 다시 열리고 웃음이 거리에 추가되었습니다。
Kamu는 말하기에 의해 그의 소설을 결론 : "의료 기록에 따르면, plague는 결코 죽거나 사라지지 않으며 가구, 의류 및 의류에서 수십 년 동안 살아남을 것입니다. 그들은 방, 셀러, 여행 상자, 손수건 및 종이에서 환자를 기다립니다. 아마도 1 일 plague는 자신의 신화를 awaken, 그들은 행복 한 도시에 매장 될 것입니다, 다시 ills와 새로운 교훈을 가져올 것입니다
나는 항상이 네트워크 루프홀에 좋은 단어였다는 것을 느꼈다。
그것은 발견 된 날 태어난 적이 없었다. 그것은 긴 전에 코드에 lying, 아무도 숨을 들었다, 그래서 우리는 안전에 대 한 침묵。
우리는 낮에, 더 이상 의심하지 않는, 그리고 그들은 모두 코드에 사용됩니다. 이 코드는 이전 부채를 포함, 과거에 지불해야하는 사람들의 작은 숫자 때문에 상환하지 않았다. AI가 왔을 때, 많은 사람들이 지불했다。
더 많은 것을 얻는 해커는 아닙니다. 체계의 다른 측에, 문제 취급의 수는 비례로 바꾸지 않았습니다。
그것은 보안 시대의 가장 어려운 부분입니다. 수용량은 그 자체를 퍼지고, 책임은 하지 않습니다; 반복은 더 싸고 고치는 것을 그 때 비싼 것과 같이. 손상은 스크립트에 의해 무수한 시간을 복제 할 수 있지만 신뢰는 한 시스템과 한 팀이 천천히 회복 할 수 있습니다。
AI는 밤새 인터넷을 파괴하지 않습니다. 빛에 돌리고 싶습니다. 마지막으로, 우리는 디지털 라이프는 결코 자동적인 자연적인 순서, 그러나 우리가 느끼는 무엇의 밑에 위험의 압력을 지키는 사람들의 그룹을 결코 봅니다。
정말 비싼 것은 루프홀을 찾을 수 없습니다. 한 홀을 고정하는 것은 충분하지 않다는 것입니다。
