AI审计发现OpenVM zkVM关键密码漏洞
近日,Cloudflare团队旗下AI安全审计工具zkao在对零知识虚拟机OpenVM的专项审查中,发现其客户库openvm-pairing存在一处关键完整性漏洞(CVE-2026-46669)。该漏洞系配对验证逻辑缺失对缩放因子的子域限制,导致恶意证明者可伪造任意配对等式,直接危及底层密码学基础。若未修复,基于OpenVM开发的所有二层扩容网络、跨链桥及隐私协议均将面临安全风险。OpenVM维护团队已迅速完成修复,相关补丁已正式纳入v1.6.0版本,生态合作方均已升级完毕。 此次发现进一步验证了AI在复杂底层架构审计中的技术边界。实验显示,面对模块耦合度高、难以独立拆分的零知识系统,常规大语言模型扫描易陷入误报困境,且生成的攻击验证代码缺乏实战有效性。zkao凭借内置的专家级审计流与深度上下文工程,成功突破传统自动化Agent在处理高密度依赖时的局限,精准捕获隐蔽逻辑缺陷。团队强调,AI辅助安全审计在应对复杂系统时仍需深度融合密码学领域知识,未来将持续推进人机协同的自动化审查范式。
