Claude Opus 4.8 は、AI 時代に大量に生成された $4.5 億バグを発見しました。 ハッカー
AIのセキュリティ時代には、能力は自分自身を広め、責任はしません。
ウェン ZhengSleepy
誰かがClaude Opus 4.8を使用して、暗号化された通貨の市場価値を$ 4.5億で蒸発させるバグを見つけました。
スタートポイントはセキュリティ監査です。 Zcashは、トランザクション情報をゼロ知識の証明で保護する古いプライバシーネットワークであり、Orchardはプライバシースキルのコアです。
5月 29, セキュリティ研究者テイラー・ホーンビー, シールド・ラボが委託する合意の監査で, Orchard は、アッセイントが存在しないトークンを作成することを可能にする深刻なループホールを持っていたことがわかりました, つまり, 「無限の増加」です。
その後、Zcashは数日以内に緊急アップグレードを完了し、ループホールが存在していたことを正式に確認しましたが、追加のトークンの発行のために使用されていたかどうかを確認することができませんでした。 Zcashは6月5日に発行された公式声明の後に50パーセント減少しました。
5月28日(水)にアンソロフィックのOpus 4.8がリリースされ、翌日にこのループホールが発見されました。
いいえ、Mythos、Opus
Zcashのストーリーは、AIではなく怖いものですが、今回はあまり普通ではありません。
それ以前は、セキュリティ業界の本当の恐怖は、人類学のクロードMythosプレビューでした。 2026年4月、Anthropicは、Mythos Previewは、主流のオペレーティングシステムとテストのブラウザでゼロデイホールを識別し、使用することができると述べたサイバーセキュリティ機能の評価を公表しました。そのうちのいくつかは、10年以上にわたって非常に隠され、潜伏していました。また、OpenBSDのバグの1つは27年も前に日付しました。
査定はまた、安全な背景のないエンジニアがMythos Previewを許可して、リモートコードの実装のループホールを探して夜を過ごし、翌日を目覚め、利用可能な攻撃コードの完全なセットを見ることができます。
つまり、以前は少数の人々だけによって保持される長期的能力は、誰にもアクセス可能なサービスになっています。 この機能はそれ自体に位置がなく、違いは誰がそれを使用しているのか、そしてそれが何をするために使用されるかにある。
人類自身が理解している。 そこで、Mythos Previewを防御的なセキュリティ作業のための少数の組織に渡るプロジェクト・グラスウィングが最初に手渡しました。 また、このレベルのモデルは、より大きな保護と、より硬い使用制約がすべて開くことを認めています。
しかし、この場合、Zcashは、技術者は、まだロックされたMythosを使用しませんでしたが、Opus 4.8は公開され、使用し、通常の人間のストリームに入りました。
AIは、大規模なチーム監査能力を持つ小規模なチームを提供するセキュリティ分野に参入しました。 ディフェンダーは、より迅速にバグや攻撃者がシステムを読みやすくすることを可能にします。
また、最も危険なモデルは必ずしも最も強くはありませんが、十分な強度、十分に安く、十分に普遍的なモデルです。
より普通のモデルは、より多くの人がそれを拾うことができます。 そのため、AIがループホールを見つけることができるかどうかは問いませんが、誰もが見つけられるときに何が起こります。
バグを探してみると、大量の動きになります
安くて2つのことを見つけるAI。
偽のセキュリティレポートは、偽りなく、物理的に無効に表示されるセキュリティレポートの数が多い。 もう一つは真であり、システムに深く隠されるように使用したループホールは、専門家の週数や月数が発見され、より速くなりました。
前者は、メンテナーを洪水し、後者はシステムを貫通します。 そして、もっと面倒なことに、同時に来るでしょう。
サイバーセキュリティは、ホワイトハットの穴、責任ある開示、メーカーの修理、およびユーザーに利益をもたらす物語の理想的なセットを持っていた。
過去に何度も、世界は確かにその物語に従った。 しかし、誰もが開いたモデルでバグを探し出すことができるとき、AIは「抜け穴の発見」のしきい値を押し下げたとき、それは報酬と評判を望んでいた多くの人々と遭遇しました。 それらの多くは、モデルがまともなレポートを生成することを可能にするヒントを単にコピーすることです。 報告書は必ずしも真実ではありません。
しかし、それが真であるか否かにかかわらず、擁護者は真剣にそれを取る必要があります。
OpenSSFは、2026年2月に「AI廃棄報告」と題し、オープンソースのメンテナーが低品質でAIを生成したリークレポートにどのように対処すべきかについて議論しました。 Curlは、2025年までに報酬の提出の約5%が真のループホールであり、約20%がAIによって生成された低品質のコンテンツのように見えると報告しました。 OpenSSFは、この種のレポートは、人々の注意を攻撃する以外、DDoSのように見えます。
オープンソースのメンテナはカスタマーサービスセンターではありません。 多くの人が未払いで、セキュリティチームやスケジュールはありません。 しかし、プロジェクトは、世界中の無数のビジネスシステムをサポートし、オープンソースから大きなコストを節約する企業は、必ずしもペディアーをペニーを支払うことはありません。しかし、何かが起こると、彼らは戻って、彼らがそれを修正しなかった理由を尋ねます。
人々はそれを作らなかったのでカールはそれから漏出報酬のプロジェクトを締めました。 セキュリティレポートは、防衛の行の一部だったが、報告書がゴミで満たされたとき、その行は、その背後にある人々を消費した。
AIは、ループホールを報告する能力をより多くの人々に与えますが、彼らがかどうかを判断する能力ではありません。 レポートを生成するモデルの能力は、それを理解できるという意味ではありません。認証コードの一部を通すことができるという意味ではありません。また、それがどのように影響するかを言うことができます。
さらに、AIで本当に見れる穴がたくさんある世界で暮らしています。
過去に安全だった
インターネットは、人々が最も大きな錯覚を与えてくれます。
携帯電話は支払うことができます, 地下鉄は掃引することができます, 病院は、数字を置くことができます; 10年前の写真でさえ、クラウドにいます, あなたはそれを忘れます. これらのことは毎日働きますので、問題が全くなかったことに同意します。 技術の信頼は、多くの場合、信頼ではなく、疑問です。
しかし、コードは、古い合意、古いボルト、一時的なニーズと、その上に「一次ライン」を建てた古い建物のようなものです。 建物のライトは、エレベーターが上り下がり、建物のすべてが正常であったと述べた。 壁にひびが入ったら誰も知らない。
ハートブルドは古典的です。 OpenSSL のループホールでは、攻撃者がサーバーメモリの秘密鍵とパスワードを読み込むことを許可しました。これにより、2014 年までに発見され、修復されませんでした。 以前は、影響を受けたサーバーで60パーセント以上の活動的なウェブサイトが実行されていると、2年以上にわたって潜伏していた。 2年で、インターネットのほとんどはほとんどが裸体で、誰も知らなかった。
スドのバロン・サメット。 Qualysは2021年にこのループホールは、ほぼ10年間スードに存在し、スードは世界で最も一般的に使用されている認定ツールの1つです。
似たような例がたくさんあります。 一緒に見てみると、今日まで安全にインターネットをサーフィンできるのはラッキーな感じです。
なぜこの穴が長い間発見されていないのですか
答えは簡単です:ループホールを探しても高価です。
コストは単なるお金ではなく、時間と忍耐ではありません。 コードを読むには、環境を設定し、プロトコルを理解し、境界条件を繰り返し、認証コードを書き、衝撃を判断するために、あなたは偽物であるものを見る必要があります。 時々、プログラムは結果なしですべての夜を実行し、1つのパスが終了し、それは動作しません。 実際には、セキュリティ研究者やハッカーは、多くの場合、壊れた詳細の束でお互いを容認します。
過去のループホールの多くは、それほど神秘的ではない、長い保つことができますが、喜んでいる人はほとんどいません。
コスト構造を変えたAI。
あまりにも多くのホーンと少ない懐中電灯。 flashlight が配布されるようになりました。
同じ懐中電灯は、亀裂と取ることができる場所で見ることができます。 「発見」を安くした瞬間、さらに「攻撃」を安くしました。 オープンソースプロジェクトに低品質レポートを提出するために、今日それを使用している人は、明日と同じ方法で会社のシステムをクリーンアップすることができます。 今日の考えは、漏れ報酬についてであり、明日の考えはチェーンのお金についてあるかもしれません。
通常のインターネットの後ろに
何かが起こった前に、インターネットのセキュリティの存在を感じることができませんでした。
支払い宝、スイープ、支払い、請求書、プロセス全体を3秒以内に開くことができます。 風力制御、機器の指紋、行動認識、ブラックアウトの対向、漏れ応答、コンテンシー計画の多くの規則がこの背後にあることを想像することはできません。
2026年5月、アント・SRC、アント・セイフティ・レスポンス・センター(AntSRC)は、宝物、花、融資、アント・富、ネットワーク・ディーラー、デジタル、アリ・インターナショナルの支払いをカバーするためにテストされた「オペレーション・ハンター」のギャップのインセンティブを実施しました。 支払い取引、資金および請求における高リスク、深刻なループホールは、最大5倍のインセンティブ額が71,500ドルまで付与されます。
また、社内チームだけでは問題が見つからなかった大型工場にも明らかだったので、外部の白い帽子を正式に整理する必要があります。 セキュリティは、コラボレーションの長いチェーンのようなものです。攻撃は検出され、検証され、等級付けされ、修理され、公開され、人々は通常のユーザーを傷つけないように集中する必要があります。 このチェーンの一部は壊れません。
2025年10月のセキュリティ姿勢報告書では、Aliyunは、クラウドプラットフォームが悪意のあるIP 27.5百万の禁止で、1日あたりの62.45億の顧客資金攻撃の平均値が62.45億であったことを書いています。そして、その月、DDoSの監視と介入は2100 Gbpsでピークに達しました。
通常、私たちが「通常のインターネットアクセス」と呼んでいるのは、実際に大量の異常から、セキュリティエンジニアが取られた狭い道です。 インターネットは決して静かではありません。
オープンソースのメンテナーは予算、スケジュールなし、緊急対応チームなし、大きな植物はこれらを購入することができます。 しかしながら、大小の植物でさえ、普通のユーザーによって感じられていない程度の人間のコラボレーションの長い鎖に頼ることができます。
そして、AIの大規模な介入の前に、この長いコラボレーションの薄鎖は既にいっぱいです。 二重ループホール、二重レポートを注いでいます。 この端を守るのは十分ですか
ループホールを見つけると、誰がそれを修正しますか
ISC2の2024年のサイバーセキュリティタレントレポートでは、全世界で約5.5万のアクティブサイバーセキュリティの実務家が存在すると推定し、タレントギャップは4.8百万に達し、同じ期間に19パーセント増加しました。 特に、この「ギャップ」は、採用ウェブサイトに掲載されたジョブの数ではなく、組織間のギャップが適切に保護され、実際に利用できる人々である必要があると考えている。
この数字のセットは単純です:多くのループホールがあり、十分な人はありません。
人間の頭の欠如だけでなく、複雑な仕事を持つ人々の不足です。 ISC2はまた、67パーセントの回答者の1セントが、組織内のネットワークセキュリティ担当者の不足があったと述べたと述べた、この不足が組織を重大な危険に置いたと感じた人あたり58パーセント。 THIRTY-ONEパーセントは、セキュリティチームはエントリーレベルのスタッフがなかったと述べ、15パーセントは3〜3年の経験を持つジュニアスタッフがいないと述べた。 多くの組織は、人的資源だけでなく、次世代を準備する手段も欠けています。
誰にもならずのトラブルです。 現在、採用されていない方、未就労者の方、未就労者の方、未就労者の方。
AI ERAのサイバーセキュリティ業界における人材の育成に関するナショナルレポートでは、雇用主が2025年、雇用主が20万ドル、税金が1年30万ドルを調達しました。 市場はハードコアの人々のために支払うことを喜んでいます, 本当に複雑な脅威を処理し、事故で判断できる人はほとんどいませんので. レポートは、AIが複雑な脅威を分析することに重点を置いたとおり、各セントあたりの33.0は、実装から戦略開発に移行していることを示しています。
これは重要です。
今一番必要なのは、夜の真ん中にループホールを読んだり、インパクトを判断したり、上流と下流を調整したり、パッチを書くことができる人です。 セキュリティは決して光の事業ではありませんが、汚れた事業です。 「ネットセキュリティ」という言葉を離れます。 それはちょうど偽の報告です, バックパック, 無限のパッチ, 無限の会議, そして、午前3:00であなたを目覚め電話。
決して消えません
迷路は、疫病と呼ばれる小説を書いた。
北アフリカの小さな町で起きた話。 急激に突っ出し、門が閉まり、皆が中を閉じました。 毎日の生活は一晩中休みます。 人々はパニック、そしてnumb、それからそれに慣れます。 盗がついに再建されるまでは、門が再開され、通りに笑いが加えられました。
「医療記録によると、疫病は死ぬか消えず、家具や衣服や衣服に10年間生き残るだろう。部屋、セラー、旅行箱、ハンカチーフ、紙で忍耐強く待つだろう。 恐らく1日、疫病は彼の群れを目覚めさせ、彼らは幸せな街に埋葬され、それは戻って病気や新しいレッスンをもたらすでしょう
ネットワークループホールのいい言葉だといつも感じました。
発見された日は生まれません。 昔はコードに嘘をついていて、誰も息を吐くことはなかったので、安全に対するサイレンスを模索しています。
日々、疑わしいことはなく、全てのコードに使われています。 過去に支払わなければならない少数の人々のために返済されなかった古い債務が含まれています。 AIが来たとき、支払いをしていた人がたくさんいました。
それだけでハッカーが増える。 システムの反対側では、問題に対処する人の数は比例して変更されていない。
セキュリティの年齢の最も困難な部分です。 容量はそれ自体を広げ、責任はしません; ループホールを見つけることはより安くなり、修理は高価です。 ダメージはスクリプトによって数え切れない時間を再現することができますが、信頼は1つのシステムと1つのチームによってゆっくりと回復することができます。
AIはインターネットを一晩破壊しません。 光を回すのが好きです。 最後に、デジタルライフは、自動自然秩序ではなく、日々の危機に瀕している人々のグループが、私たちが感じているものの下の危険性を保ちつつあります。
本当に高価なのは、ループホールを見つけることではありません。 穴を一つずつ固定して喜んでいる人は十分ではないということです。
