※この記事はアフィリエイト広告を含みます
AI审计工具「zkao」在OpenVM中发现关键漏洞!
事件概述
- AI审计工具「zkao」发现严重漏洞: 在OpenVM的客户库
openvm-pairing中,检测到了配对检查的缺陷(CVE-2026-46669)。 - 常规LLM无法发现: 最新模型如Opus 4.7和Codex 5.4的简单提示未能识别出潜藏在复杂依赖关系中的漏洞,而经过9.5小时的扫描后被揭露出来。
- 已经修复: 此漏洞已在OpenVM 1.6.0中得到修复,AI生成的详细报告和PoC(概念验证)使开发团队能够迅速确认和应对该漏洞。
为什么这很重要?关键点
- 动摇零知识证明(ZKP)的根基: 该漏洞涉及到“配对”这一SNARK(如Groth16)的核心技术,恶意证明者可以误导他人将虚假证明视为真实。
- “上下文工程”的胜利: 通过追踪模块间复杂的前提条件和不变条件,专为「zkao」设计的工作流程成功突破了超过100万token的上下文壁垒,而非单一模块的解析。
🦈 鲨鱼的视角(策展人的观点)
这条新闻让我震惊的是,即使是Opus 4.7也未能单独识别的“超复杂拼图”,通过AI代理的协作,竟然成功解开了,真是令人惊叹!
常规AI审计通常只能将代码拆分,询问“此文件夹中是否存在漏洞?”的程度。但是,在像zkVM这样的高级系统中,单独安全的模块组合在一起时会产生漏洞。zkao提取了各个代理的知识(knowledge),并由主代理整合分析,这一接近人类的思维过程持续了9.5小时。真的是量与专业技能的完美结合!
未来会怎样?
AI代码审计将进入“上下文深度”而非“指出问题数量”的竞争阶段。未来,开发者在编写代码的瞬间,这类高级AI代理将在后台进行数小时的深入审计将会成为常态!
鲨鱼视角的一句话
看到最新模型都无法突破的壁垒,被精心设计的上下文打破,我感到无比兴奋!绝不能小觑AI的“毅力(长时间扫描)”!🦈🔥
术语解释
-
zkao: 由zkSecurity公司开发的专注于密码技术的AI安全审计工具。将专家的技能工作流程化执行。
-
zkVM: 能够生成零知识证明(ZKP)的虚拟机。可以在不透露内容的情况下证明复杂程序的执行过程是正确的技术。
-
配对(Pairing): 高级加密协议的基础数学映射。如果被破坏,将可能导致签名伪造或证明篡改,非常重要。
-
信息来源: AI Meets Cryptography 2: What AI Found in OpenVM’s ZkVM