نماذج الذكاء الاصطناعي المتقدمة تظهر قدرة بمستوى الإنسان في استغلال العقود الذكية

باختصار

• اختبرت أنثروبيك عشرة نماذج ذكاء اصطناعي على 405 استغلالات تاريخية للعقود الذكية وأعادت إنتاج 207 منها.
• نموذجين حققوا 4.6 مليون دولار في استغلالات محاكاة على العقود التي تم إنشاؤها بعد تاريخ انتهاء تدريبهم.
• اكتشف الوكلاء أيضًا ثغرتين جديدتين من نوع صفر في العقود الحديثة على سلسلة بينانس الذكية.

مركز فنون الموضة والترفيه لفك التشفير.

اكتشف SCENE

أظهرت بيانات جديدة صدرت يوم الاثنين عن Anthropic أن وكلاء الذكاء الاصطناعي حققوا أداءً مماثلاً لمهاجمين بشريين مهرة في أكثر من نصف عمليات استغلال العقود الذكية المسجلة على الشبكات الكبرى خلال السنوات الخمس الماضية.

قامت أنثروبك بتقييم عشرة نماذج حدودية، بما في ذلك لاما 3، سونيت 3.7، أوبوس 4، جي بي تي-5، وديب سيك V3، على مجموعة بيانات تتكون من 405 استغلالات تاريخية لعقود ذكية. أنتجت الوكلاء هجمات ناجحة ضد 207 منها، بإجمالي $550 مليون في الأموال المسروقة المحاكاة.

أظهرت النتائج مدى سرعة أنظمة الأتمتة في تسليح الثغرات وتحديد ثغرات جديدة لم يعالجها المطورون.

الإفصاح الجديد هو الأحدث من مطور Claude AI. في الشهر الماضي، أوضحت Anthropic كيف استخدم قراصنة صينيون Claude Code لإطلاق ما أسمته أول هجوم إلكتروني مدفوع بالذكاء الاصطناعي.

قال خبراء الأمن إن النتائج أكدت مدى سهولة الوصول إلى العديد من هذه الثغرات بالفعل.

“يتم استخدام الذكاء الاصطناعي بالفعل في أدوات ASPM مثل Wiz Code و Apiiro، وفي ماسحات SAST و DAST القياسية،” قال ديفيد شيويد، المدير التنفيذي لشركة SovereignAI، لموقع Decrypt. “هذا يعني أن الجهات السيئة ستستخدم نفس التكنولوجيا لتحديد الثغرات.”

قال شفيد إن الهجمات المدفوعة بالنموذج الموضحة في التقرير ستكون سهلة التوسع لأنها تستغل العديد من الثغرات التي تم الكشف عنها بالفعل علنًا من خلال الثغرات الشائعة والتقارير التدقيقية، مما يجعلها قابلة للتعلم من قبل أنظمة الذكاء الاصطناعي وسهلة المحاولة ضد العقود الذكية الحالية.

“سيكون من الأسهل حتى العثور على ثغرة تم الكشف عنها، والعثور على المشاريع التي تفرعت عن تلك المشروع، ومحاولة استغلال تلك الثغرة، والتي قد لا تكون قد تم إصلاحها،” قال. “يمكن القيام بكل هذا الآن على مدار الساعة طوال أيام الأسبوع، ضد جميع المشاريع. حتى تلك التي لديها قيم إجمالية أصغر هي أهداف، لأنه لماذا لا؟ إنها فاعلية.”

لقياس القدرات الحالية، قامت شركة Anthropic برسم إجمالي إيرادات الاستغلال لكل نموذج مقابل تاريخ إصداره باستخدام 34 عقدًا تم استغلالها فقط بعد مارس 2025.

“على الرغم من أن إيرادات الاستغلال الإجمالية هي مقياس غير كامل—حيث تهيمن بعض الاستغلالات النادرة على الإيرادات الإجمالية—نبرزها على معدل نجاح الهجمات لأن المهاجمين يهتمون بمقدار المال الذي يمكن لوكلاء الذكاء الاصطناعي استخراجه، وليس عدد أو صعوبة الأخطاء التي يجدونها،” كتبت الشركة.

لم ترد شركة أنثروبيك على طلبات التعليق من Decrypt. على الفور.

قالت شركة Anthropic إنها اختبرت الوكلاء على مجموعة بيانات صفرية تضم 2,849 عقدًا مستخرجًا من أكثر من 9.4 مليون على سلسلة بلوكشين Binance.

قالت الشركة إن كل من Claude Sonnet 4.5 و GPT-5 كشفا عن عيبين غير معلنين أنتجا قيمة محاكية قدرها 3,694 دولار، حيث حقق GPT-5 نتيجته بتكلفة API قدرها 3,476 دولار. وأشارت Anthropic إلى أن جميع الاختبارات تمت في بيئات معزولة تمثل الشبكات blockchain وليست الشبكات الحقيقية.

أقوى نموذج لديه، كلود أوبس 4.5، استغل 17 من الثغرات بعد مارس 2025 وحقق 4.5 مليون دولار من القيمة المحاكاة الإجمالية.

ربطت الشركة بين التحسينات عبر النماذج والتقدم في استخدام الأدوات، واستعادة الأخطاء، وتنفيذ المهام على المدى الطويل. عبر أربعة أجيال من نماذج كلود، انخفضت تكاليف الرموز بنسبة 70.2%.

أحد العيوب المكتشفة حديثًا كان يتعلق بعقد توكن يحتوي على دالة آلة حاسبة عامة تفتقر إلى محدد العرض، مما سمح للوكيل بتعديل متغيرات الحالة الداخلية بشكل متكرر وبيع أرصدة مضخمة على البورصات اللامركزية. وقد أنتج الاستغلال المحاكي حوالي 2,500 دولار.

قال شفيد إن القضايا التي تم تسليط الضوء عليها في التجربة كانت “في الحقيقة مجرد عيوب في منطق الأعمال”، مضيفًا أن أنظمة الذكاء الاصطناعي يمكنها تحديد هذه الضعف عندما تُعطى هيكلًا وسياقًا.

“يمكن للذكاء الاصطناعي أيضًا اكتشافها إذا كان لديه فهم لكيفية عمل العقد الذكي ومع التعليمات التفصيلية حول كيفية محاولة تجاوز فحوصات المنطق في العملية”، قال.

قالت شركة أنثروبيك إن القدرات التي مكنت الوكلاء من استغلال العقود الذكية تنطبق أيضًا على أنواع أخرى من البرمجيات، وأن انخفاض التكاليف سيقلل من الفترة الزمنية بين النشر والاستغلال. وحثت الشركة المطورين على اعتماد الأدوات الآلية في سير عملهم الأمني بحيث تتقدم الاستخدامات الدفاعية بسرعة مثل الاستخدامات الهجومية.

على الرغم من تحذير Anthropic، قال شفيد إن التوقعات ليست سلبية فقط.

“أنا دائماً أعارض التشاؤم وأقول إنه مع وجود ضوابط مناسبة، واختبارات داخلية صارمة، بالإضافة إلى المراقبة في الوقت الحقيقي ودوائر كسر الحماية، يمكن تجنب معظم هذه الأمور،” قال. “لدى الفاعلين الجيدين نفس الوصول إلى نفس الوكلاء. لذا إذا استطاع الفاعلون السيئون العثور على ذلك، فيمكن للفاعلين الجيدين أيضاً العثور على ذلك. علينا أن نفكر ونتصرف بشكل مختلف.”