游乐游手机版
首页/网络安全/文章详情

AI审计发现OpenVM配对库存在严重漏洞 1.6.0版本已修复

时间:2026-07-19 07:27
AI审计工具zkao发现OpenVM配对库存在严重漏洞(CVE-2026-46669),恶意证明者可伪造任意配对等式,威胁零知识证明系统安全。该漏洞已在OpenVM1 6 0中修复,仅影响直接调用该库的代码。人工团队核实后进行了负责任披露,建议用户立即升级。

近期,ZKSecurity 将其 AI 审计工具 zkao 部署至 OpenVM 的 zkVM 项目后,发现了一个极具挑战性的安全漏洞:在 openvm-pairing 这个 guest 库中,存在一个严重可靠性缺陷——恶意证明者能够伪造任意配对等式,从而破坏系统安全性。该漏洞编号为 CVE-2026-46669,已在 OpenVM 1.6.0 版本中完成修复;基于 OpenVM 构建的合作方也已陆续升级至该版本。

需明确此漏洞的影响范围:问题并非源于 zkVM 的证明系统本身,而是源于使用了存在风险的配对库的代码部分。换言之,若项目未直接调用该库,则不会受到影响。值得一提的是,模型自动生成的仅为候选发现,并不构成最终安全报告;人工团队在核实漏洞的可利用性、影响范围及受影响的上下游项目后,才进行负责任披露。

此前,采用 Opus 4.6、Codex 5.3 及后续版本的扫描工具,也曾输出多个被标记为“严重”的候选结果,但并非所有结果都能被实际利用。实际经验表明,像 zkVM 这类模块依赖极为紧密的复杂系统,不适合简单地按目录拆分交由子任务执行器处理。一个高效的审计流程,需要专业技能、充分的上下文背景以及人工复核环节,才能将候选信号转化为可靠的结论。

OpenVM 审计案例概览。
漏洞相关的子域检查示意。
来源:https://blog.zksecurity.xyz/posts/openvm-bugs/
上一篇Linux exploit漏洞防范策略全面安全加固最佳实践指南 下一篇Debian防火墙可防御的常见攻击类型
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
Debian系统嗅探器能否全面有效检测网络入侵行为
网络安全 · 2026-07-19

Debian系统嗅探器能否全面有效检测网络入侵行为

在Debian环境下,借助网络嗅探工具(如tcpdump、Wireshark)进行入侵检测,是一种极具实战价值的思路。这些工具并不会直接标记“有攻击者入侵”,但它们提供的数据包级别信息,是构建入侵检测能力的核心基础。实际工作中,主要从以下三个维度展开: 实时流量监控:简单来说,就是持续监测网络数据包

CentOS缓存攻击的全面预防策略与安全防护方案
网络安全 · 2026-07-19

CentOS缓存攻击的全面预防策略与安全防护方案

CentOS系统的缓存管理,看似只是运维中的一个小环节,但在攻击者眼中却可能成为潜入系统的突破口。轻则拖慢响应速度,重则泄露敏感数据。那么,如何构建一道坚实的防护屏障?建议从以下几个关键维度着手。 定期清理缓存,不给攻击者留下可乘之机。YUM缓存可通过 sudo yum clean all 一键清除

九种Windows XP登录密码破解方法
网络安全 · 2026-07-19

九种Windows XP登录密码破解方法

Windows XP 密码恢复全攻略:从入门到精通 使用 Windows XP 时,如果您自认为记性不太好,那么首次设置密码时最好立即创建一张密码恢复启动盘。有了这张盘,至少可以避免格式化硬盘的麻烦,轻松找回丢失的密码。 操作步骤非常简单:从“控制面板”进入“用户账户”,选择自己的账户后,在左侧任务

Linux嗅探器如何应对网络攻击的完整实战教程
网络安全 · 2026-07-19

Linux嗅探器如何应对网络攻击的完整实战教程

在Linux环境下,Sniffer工具能够发挥多种重要作用,尤其在应对网络攻击时表现突出。以下是几个核心应用场景: 捕获并分析数据包:利用tcpdump等工具抓取网络流量,结合过滤器(例如仅抓取port 80的流量)即可精准定位特定协议的数据包。当流量模式出现异常,如DDoS攻击导致的突发流量时,能

Kimi AI威胁性分析:真实还是虚惊
网络安全 · 2026-07-19

Kimi AI威胁性分析:真实还是虚惊

本周,中国人工智能企业Moonshot正式发布了其新一代Kimi开源模型,由此引发的关于中国开源AI发展的讨论,似乎已成为一种必然趋势。 Moonshot方面坦言,尽管Kimi K3“在性能上仍不及当前最顶尖的专有模型——如Claude Fable 5与GPT 5 6 Sol”,但这款全新开源模型“