AI智能体发现FFmpeg和Zcash隐藏多年漏洞

两起近期事件展示了人工智能如何重塑网络安全研究：自主AI系统发现了人类专家多年未能察觉的危险漏洞。

花1000美元在FFmpeg中找到21个零日漏洞

安全初创公司depthfirst披露，其自主AI智能体在FFmpeg中发现了21个此前未知的零日漏洞。FFmpeg是几乎嵌入所有视频处理应用的开源媒体库。这次扫描仅花费约1000美元的计算成本。部分漏洞已在代码库中隐藏超过20年，尽管FFmpeg曾接受过Google和Anthropic安全团队的扫描。

Depthfirst的智能体扫描了FFmpeg约150万行C代码，并为每个漏洞生成了可复现的验证概念。其中9个漏洞已获得CVE编号。该公司成立于2024年10月，2025年3月以5.8亿美元估值融资8000万美元，并于5月承诺投入最高500万美元的平台积分，帮助关键开源项目发现和修复漏洞。

Claude Opus 4.8协助揭露Zcash伪造漏洞

6月5日，Zcash创始人Zooko Wilcox公开披露了加密货币Orchard隐藏池中一个严重的伪造漏洞。该漏洞自2022年5月起就一直存在，可能允许攻击者铸造无限量的虚假ZEC代币。

安全工程师Taylor Hornby受Shielded Labs聘用，于5月29日使用Anthropic的Claude Opus 4.8发现了该漏洞——该模型仅比发现时间早一天发布。Hornby构建了完整的验证概念漏洞利用程序，在本地测试环境中成功生成虚假ZEC。Zcash Open Development Lab于6月2日部署紧急软分叉，禁用Orchard交易，随后在6月3日通过硬分叉永久关闭了该漏洞。

消息公布后，ZEC价格下跌超过30%。Shielded Labs表示“不太担心”此前已被利用，因为该漏洞足够隐蔽，避开了多年的专家审查，但他们承认无法从密码学角度证明从未被利用。

漏洞发现进入新时代

这些事件发生在更广泛的变革背景下。Google威胁情报组在5月报告了首次确认的案例：威胁行为者使用AI发现并武器化了一个真正的零日漏洞。Anthropic指出，其模型“现在能够大规模发现高危漏洞”。

正如The Next Web所评论的，AI正在“以比人类修复更快的速度发现漏洞”——随着这些工具变得更强大、更易获取，这一趋势对防御者和攻击者都将带来影响。