Hasty Briefsbeta

双语

AI Meets Cryptography 2: What AI Found in OpenVM's ZkVM

2 hours ago
  • #zkVM security
  • #cryptography bugs
  • #AI auditing
  • zkao,一位人工智能审计员,在OpenVM的客户库openvm-pairing中发现了一个关键的健全性漏洞,允许恶意证明者伪造任何配对等式。
  • 该漏洞(CVE-2026-46669)存在于配对检查中缺失了对缩放因子的子字段验证,通过将缩放因子设置为Miller循环输出的倒数,即可实现伪造。
  • OpenVM在版本1.6.0中修复了此问题,增加了子域成员资格测试以拒绝不在正确子域中的缩放因子。
  • 此漏洞影响了使用配对的加密协议,如Groth16 SNARK、BLS签名和KZG公开承诺,破坏了L2卷叠链、跨链桥和隐私协议的健全性。
  • 该实验突显了简单大型语言模型在复杂代码库(如zkVM)上的局限性,需要在zkao中进行高级上下文工程以捕获模块依赖性和不变性。
  • 使用LLM生成的概念验证进行自动分类并不可靠,因为存在误报,这促使改进了zkao的分类流程以减少此类问题。
  • 未来的工作包括针对OpenVM 2.0等项目进行针对性合作,并作为持续的人工智能审计系列的一部分分享更多发现。