2025年,一個由 Anthropic 的前沿大型語言模型 Claude Opus 4 協助發現的 Zcash 嚴重漏洞,悄悄重寫了加密貨幣安全審計的遊戲規則。這個漏洞存在於 Zcash 的零知識證明電路層,若遭惡意利用,可能導致通貨膨脹攻擊——即在無人知情的情況下憑空鑄造代幣。最關鍵的細節在於:發現它的不是一群資深白帽駭客,而是一個被引導執行深度代碼分析任務的 AI 模型。
這不是 AI 「協助」審計的故事。這是 AI 開始領先於人類審計師的第一個公開案例。
傳統智能合約或密碼學協議審計,依賴的是稀缺的人類專家資源。全球能夠深度審計零知識證明電路的工程師,估計不超過數百人,而需要這類審計的項目數量正以指數級增長。
這個供需失衡創造了三個系統性漏洞:
前沿 AI 模型恰好在這三個維度上具備結構性優勢:它不疲勞、不需要「趕進度」、且每次分析都重置思維框架。
Zcash 的隱私機制建立在 zk-SNARKs 零知識證明系統之上。其電路約束(circuit constraints)是確保系統安全性的核心——任何約束缺失都可能被攻擊者構造惡意證明來繞過驗證。這類漏洞極度依賴數學直覺與代碼邏輯的交叉審視,歷來是人工審計最難觸及的盲區,也是 AI 模型展現優勢的精確場域。
AI 輔助審計不再是「加分項」,而正在成為基準線。當市場上已有工具能夠系統性地掃描密碼學漏洞,繼續僅依賴傳統人工審計的項目,其安全聲明的可信度將受到更多質疑。
更深層的影響是責任邊界的移動:如果一個公開可用的 AI 工具本可發現某漏洞,而項目方未使用它,在漏洞被利用後,這是否構成疏忽?這個法律與道德問題,產業尚未準備好回答。
這是最需要警惕的結構性轉變。相同的前沿 AI 模型,既可以被白帽研究員用於防禦,也可以被惡意行為者用於進攻。防禦方需要審計所有可能的攻擊面,而攻擊方只需要找到一個成功的入口。
AI 的出現,讓這種不對稱在技術層面進一步加劇:攻擊者現在可以用同樣的工具,更快速、更大規模地掃描未公開的漏洞。
純粹依賴人工審計的公司,其商業模式正在被壓縮。競爭優勢將轉向那些能夠有效整合 AI 工具與人類專家判斷的團隊——AI 負責廣度覆蓋,人類負責高階判斷與語境理解。
短期:在下一次審計採購中,要求審計方說明其 AI 輔助工具的使用情況及方法論。不使用任何 AI 輔助工具的審計公司,應被視為流程落後的警訊。
中期:考慮建立「雙軌審計」標準——人工審計負責業務邏輯與架構層面,AI 輔助審計負責密碼學約束與邊界條件的系統性覆蓋。
在評估項目安全性時,「已通過審計」這個標籤的含金量正在分化。開始詢問:哪家機構審計?使用了什麼方法論?覆蓋了哪些攻擊面? 這些問題的答案,比審計報告的存在本身更重要。
AI 工具是倍增器,不是替代品。掌握如何有效引導前沿模型進行安全分析——包括如何設計提示詞、如何驗證 AI 輸出、如何結合領域知識過濾假陽性——正在成為這個領域最稀缺的複合技能。
Zcash 漏洞事件不是一個「AI 很厲害」的科技新聞,它是加密貨幣產業安全基礎設施進入結構轉型期的第一個公開信號。短期內,市場關注的仍是這個漏洞是否被利用、Zcash 價格如何反應——這些都是雜訊。真正的訊號是:當攻防兩端都開始採用同等級的 AI 工具,整個產業的安全假設需要從零重建。那些現在開始重新定義審計標準的項目,將在下一個週期佔據結構性優勢;那些繼續把「通過審計」當作終點而非起點的項目,正在積累一個遲早引爆的風險缺口。