지캐시, 앤트로픽 AI 감사로 추가 중대 취약점은 못 찾았다고 발표

• 지캐시(Zcash) 쪽에서 앤트로픽 AI 모델을 활용한 추가 보안 감사 결과를 공개함

  • 창시자 주코 윌콕스가 12일 현지시간으로 발표한 내용임
  • 가상자산 연구 조직 쉴디드랩스 요청으로 감사를 진행했다고 밝힘
  • 사용한 모델은 앤트로픽의 AI 모델 미토스라고 설명됨

• 결론만 보면 추가 중대 취약점은 발견되지 않았다는 발표임

  • 윌콕스는 지캐시 프로토콜 안에서 다른 중대한 취약점은 발견되지 않았다고 말함
  • 쉴디드랩스 등 관련 팀들이 보안 강화 작업을 계속 추진 중이라고 덧붙임
  • 조만간 후속 업데이트도 내놓겠다고 예고함

• 이번 감사는 최근 발견된 오차드 풀 취약점의 후속 조치 성격임

  • 지난 5일 윌콕스는 지캐시 오차드 풀 안에 위조 취약점이 있었다고 밝힘
  • 이 취약점은 가짜 ZEC를 무한정 생성할 수 있는 문제로 설명됨
  • 암호화폐에서 무한 발행 가능성은 통화 공급 신뢰를 직접 건드리는 치명적 이슈임

• 흥미로운 건 최초 취약점 발견에도 앤트로픽 AI가 쓰였다는 점임

  • 보안 연구원 테일러 혼비가 지난달 29일 앤트로픽 오퍼스 4.8 모델을 활용한 표적 감사 중 취약점을 발견함
  • 이후 지캐시오픈디벨롭먼트랩(ZODL)에 신고됨
  • ZODL은 지캐시 생태계 관계자들과 조율해 지난 2일 결함 수정을 완료함

• 개발자 입장에서 볼 포인트는 AI 감사가 만능이라는 얘기가 아니라, 표적 감사의 생산성을 올리는 도구로 자리 잡을 수 있다는 점임

  • 암호 프로토콜은 일반 웹앱보다 버그 하나의 파급력이 훨씬 큼
  • AI가 취약점 후보를 빠르게 찾는 데 도움을 줄 수는 있어도, 수정 검증과 생태계 조율은 여전히 사람이 해야 함
  • 추가 취약점이 없다는 발표도 지속적인 감사가 필요 없다는 뜻은 아님

---

기술 맥락

• 오차드 풀 취약점이 위험한 이유는 단순 장애가 아니라 위조 가능성이기 때문이에요. 암호화폐에서 가짜 토큰을 무한히 만들 수 있다면 장부의 신뢰 자체가 깨질 수 있거든요.

• AI 모델을 보안 감사에 쓰는 건 코드를 대신 책임지게 하려는 게 아니에요. 사람이 놓칠 수 있는 패턴을 빠르게 훑고, 의심 지점을 좁혀서 표적 감사를 더 효율적으로 만드는 쪽에 가까워요.

• 이번 흐름에서 중요한 건 발견, 신고, 생태계 조율, 수정이 순서대로 이뤄졌다는 점이에요. 특히 프로토콜 취약점은 공개 타이밍을 잘못 잡으면 악용 가능성이 커지기 때문에 관련 팀 간 조율이 필요해요.