有人用 Claude Opus 4.8 找到了一个 Bug，让一个加密货币的市值蒸发了 45 亿美元。

事件的起点是一次安全审计。Zcash 是一个老牌隐私网络，用零知识证明来保护交易信息，Orchard 是它这套隐私交易能力的核心场所。5 月 29 日，安全研究员 Taylor Hornby 在 Shielded Labs 委托的协议审计中，发现 Orchard 有一个严重漏洞，能让攻击者凭空造出本不该存在的代币，也就是「无限增发」。

Zcash 随后在几天内完成紧急升级，官方确认了漏洞确实存在，但无法确认是否已经有人利用它增发过代币。6 月 5 日官方声明发布后，Zcash 暴跌 50%。

Anthropic 的 Opus 4.8 是 5 月 28 日发布的，第二天这个漏洞就被发现了。这并不是因为 AI 特别强，而是它这一次强得太普通了。

这意味着一种过去只有少数人能长期掌握的能力，正在变成任何人都可以随时调用的服务。模型越普通，能拿起它的人就越多。

AI 进入安全领域，让小团队拥有了大团队的审计能力。它让维护者更快地找到 bug，也让攻击者更快地读懂系统。而且，最危险的未必是最强的那个模型，而是那种足够强、足够便宜、又足够普遍的模型。

AI 把漏洞发现变便宜之后，会出现两种东西：一种是假的，大量看起来像模像样、实际经不起验证的安全报告；另一种是真的，过去藏在系统深处、需要专家花费几周甚至几个月才能找到的漏洞，也开始被更快地翻出来。前者会淹没维护者，后者会击穿系统。

当人人都能用公开的模型去找 bug，涌进来的，是大量想薅赏金、想刷声誉的人。他们中的很多人，只是复制一段提示词，让模型生成一份看起来挺像样的报告。

curl 曾报告过，到 2025 年中，只有约 5% 的赏金提交是真漏洞，约 20% 看起来像 AI 生成的低质内容。OpenSSF 说，这种报告很像 DDoS，只不过它攻击的是人的注意力。

AI 让更多人有了提交漏洞报告的能力，却没有让更多人有判断漏洞真假的能力。能让模型生成一份报告，不等于看得懂这份报告；能跑通一段验证代码，也不等于说得清它到底影响多大。

⚠️ 本文采集公开信息，不构成任何投资建议。请自行判断项目真实性，自愿承担任何后果。