Claude Opus4.8 找到一个 45 亿美元的 Bug,AI 时代正在批量生产黑客
一句话看懂:安全研究员使用 Anthropic 刚发布的 Claude Opus 4.8,在隐私网络 Zcash 的核心组件 Orchard 中发现一个允许代币无限增发的严重漏洞,导致 Zcash 市值瞬间蒸发 45 亿美元。这起事件揭示了 AI 将漏洞发现成本急剧拉低后,防守端人力与修复能力严重不匹配的核心矛盾。
事件核心:发生了什么
5 月 28 日,Anthropic 发布 Claude Opus 4.8。次日,受委托的安全研究员 Taylor Hornby 在 Zcash 的 Orchard 组件(其隐私交易核心)中检测到严重漏洞:攻击者可利用它凭空铸造本不存在的代币。6 月 5 日官方确认漏洞存在并完成紧急升级后,Zcash 价格暴跌 50%,市值蒸发约 45 亿美元。值得注意的是,这不是 Anthropic 仍在限制使用的顶尖模型 Claude Mythos Preview,而是已向公众开放的 Opus 4.8。此前 Mythos 的评估显示,即使无安全背景的工程师也能让模型生成完整远程代码执行攻击代码,甚至识别出潜伏长达 27 年的零日漏洞。
为什么重要
AI 极大降低了漏洞发现门槛,从少数专家的手艺变成了大众可调用的服务。但最危险的并非最强模型,而是足够强、足够便宜、足够普及的普通模型——能用的人越多,风险覆盖面越大。防守端面临双重挤压:一方面,截至 2025 年中,curl 项目的漏洞赏金提交中仅约 5% 是真漏洞,约 20% 是 AI 生成的低质内容,这些报告被开源维护者形容为“针对人力的 DDoS 攻击”;另一方面,真实漏洞被更快翻出,但修复责任和人力并未同比例增长。ISC2 2024 年报告显示全球网络安全从业者约 550 万,人才缺口达 480 万,同比增长 19%,且 15% 的组织没有 1-3 年经验的初级员工。
对用户/开发者/创作者的影响
对于普通用户,过去依靠“漏洞未被发现”获得的数字生活平安,本质是运气而非安全。Heartbleed 潜伏两年影响超六成网站、sudo 漏洞藏了近十年才被发现等案例表明,互联网的可靠性依赖于一条脆弱的人力协作链。对于开发者与开源维护者,AI 批量生成的低质报告正消耗本就稀缺的审查精力,curl 已因不堪重负关闭赏金项目。对于企业安全团队,AI 迫使从业者转向更复杂的分析工作,进一步放大核心人才缺口——国内 2025 年报告显示约 46.2% 安全从业者年薪在 20-30 万,市场愿为能处理复杂威胁的中坚人才支付高薪。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,Anthropic 是否以及何时会扩大 Claude Mythos Preview 的开放范围,其约束机制是否有效遏制滥用。第二,开源生态是否会因 AI 低质报告激增而被迫调整漏洞披露流程,甚至更多项目效仿 curl 关闭赏金项目。第三,Zcash 事后审计能否确认该漏洞是否已被利用增发代币——这一结果将直接影响 AI 辅助安全审计的商业化信任度。
来源:Readhub · AI
