近期,ZKSecurity 将其 AI 审计工具 zkao 部署至 OpenVM 的 zkVM 项目后,发现了一个极具挑战性的安全漏洞:在 openvm-pairing 这个 guest 库中,存在一个严重可靠性缺陷——恶意证明者能够伪造任意配对等式,从而破坏系统安全性。该漏洞编号为 CVE-2026-46669,已在 OpenVM 1.6.0 版本中完成修复;基于 OpenVM 构建的合作方也已陆续升级至该版本。
需明确此漏洞的影响范围:问题并非源于 zkVM 的证明系统本身,而是源于使用了存在风险的配对库的代码部分。换言之,若项目未直接调用该库,则不会受到影响。值得一提的是,模型自动生成的仅为候选发现,并不构成最终安全报告;人工团队在核实漏洞的可利用性、影响范围及受影响的上下游项目后,才进行负责任披露。
此前,采用 Opus 4.6、Codex 5.3 及后续版本的扫描工具,也曾输出多个被标记为“严重”的候选结果,但并非所有结果都能被实际利用。实际经验表明,像 zkVM 这类模块依赖极为紧密的复杂系统,不适合简单地按目录拆分交由子任务执行器处理。一个高效的审计流程,需要专业技能、充分的上下文背景以及人工复核环节,才能将候选信号转化为可靠的结论。


