Модели Frontier AI демонстрируют человеческий уровень возможностей в эксплуатации смарт-контрактов

Вкратце

• Anthropic протестировала десять ИИ-моделей на 405 исторических уязвимостях смарт-контрактов и воспроизвела 207 из них.
• Три модели сгенерировали 4,6 миллиона долларов в симулированных эксплойтах на контрактах, созданных после их предельного срока обучения.
• Агентам также удалось обнаружить две новые уязвимости нулевого дня в недавних контрактах Binance Smart Chain.

Центр искусства, моды и развлечений Decrypt.

Откройте SCENE

Согласно новым данным, опубликованным в понедельник компанией Anthropic, агенты ИИ достигли результатов, сопоставимых с квалифицированными человеческими атакующими, в более чем половине случаев эксплуатации смарт-контрактов, зафиксированных на крупных блокчейнах за последние пять лет.

Anthropic оценил десять передовых моделей, включая Llama 3, Sonnet 3.7, Opus 4, GPT-5 и DeepSeek V3, на наборе данных из 405 исторических эксплойтов смарт-контрактов. Агенты произвели работающие атаки против 207 из них, всего $550 миллионов в симулированных украденных средствах.

Результаты показали, как быстро автоматизированные системы могут использовать уязвимости в своих интересах и выявлять новые, которые разработчики не устранили.

Новое раскрытие является последним от разработчика Claude AI. В прошлом месяце Anthropic подробно описала, как китайские хакеры использовали Claude Code для запуска того, что они назвали первой кибератакой, управляемой ИИ.

Эксперты по безопасности заявили, что результаты подтвердили, насколько доступны многие из этих уязвимостей.

“Искусственный интеллект уже используется в инструментах ASPM, таких как Wiz Code и Apiiro, а также в стандартных сканерах SAST и DAST,” сказал Дэвид Швед, COO SovereignAI, в интервью Decrypt. “Это означает, что недобросовестные участники будут использовать ту же технологию для выявления уязвимостей.”

Швед сказал, что атак, основанных на моделях, описанных в отчете, будет легко масштабировать, поскольку многие уязвимости уже публично раскрыты через Общие уязвимости и экспозиции или отчеты аудитов, что делает их доступными для изучения системами ИИ и легкими для попыток против существующих смарт-контрактов.

“Еще проще было бы найти раскрытую уязвимость, найти проекты, которые форкнули этот проект, и просто попытаться использовать эту уязвимость, которая могла не быть исправлена,” сказал он. “Все это можно делать сейчас круглосуточно и без выходных, против всех проектов. Даже те, у которых сейчас меньшие TVL, являются целями, потому что почему бы и нет? Это агентное.”

Чтобы измерить текущие возможности, Anthropic сопоставила общий доход от эксплуатации каждой модели с датой ее выпуска, используя только 34 контракта, эксплуатируемых после марта 2025 года.

“Хотя общий доход от эксплойтов является несовершенной метрикой — поскольку несколько выдающихся эксплойтов доминируют в общем доходе — мы подчеркиваем его над коэффициентом успеха атак, потому что злоумышленников интересует, сколько денег могут извлечь агенты ИИ, а не количество или сложность найденных ошибок,” написала компания.

Anthropic не сразу ответил на запросы о комментариях от Decrypt.

Anthropic заявила, что протестировала агентов на нулевом наборе данных из 2,849 контрактов, взятых из более чем 9,4 миллионов на Binance Smart Chain.

Компания сообщила, что Claude Sonnet 4.5 и GPT-5 обнаружили по два нераскрытых дефекта, которые привели к симулированной стоимости в $3,694, при этом GPT-5 достиг своего результата при стоимости API в $3,476. Anthropic отметила, что все тесты проводились в изолированных средах, которые имитировали блокчейны, а не реальные сети.

Его самая мощная модель, Claude Opus 4.5, использовала 17 уязвимостей после марта 2025 года и составила 4,5 миллиона долларов от общей смоделированной стоимости.

Компания связала улучшения в различных моделях с достижениями в использовании инструментов, восстановлении от ошибок и выполнении долгосрочных задач. За четыре поколения моделей Claude стоимость токенов снизилась на 70,2%.

Одним из вновь обнаруженных недостатков был контракт токена с публичной функцией калькулятора, которой не хватало модификатора view, что позволяло агенту многократно изменять внутренние переменные состояния и продавать завышенные балансы на децентрализованных биржах. Смоделированная атака принесла около 2 500 долларов.

Швед сказал, что вопросы, поднятые в эксперименте, были “на самом деле просто недостатками бизнес-логики”, добавив, что ИИ-системы могут выявлять эти слабости, когда им предоставляют структуру и контекст.

“ИИ также может их обнаружить, если он понимает, как должен функционировать смарт-контракт, и с подробными подсказками о том, как попытаться обойти логические проверки в процессе,” сказал он.

Антропик заявил, что возможности, позволяющие агентам использовать смарт-контракты, также применимы к другим видам программного обеспечения, и что снижение затрат сократит промежуток времени между развертыванием и эксплуатацией. Компания призвала разработчиков внедрять автоматизированные инструменты в свои рабочие процессы безопасности, чтобы защитное использование развивалось так же быстро, как и наступательное.

Несмотря на предупреждение Anthropic, Швед сказал, что прогноз не является исключительно негативным.

“Я всегда отвергаю пессимизм и говорю, что при правильных мерах контроля, строгом внутреннем тестировании, а также мониторинге в реальном времени и автоматических отключениях, большинство из этих проблем можно избежать,” сказал он. “Хорошие игроки имеют такой же доступ к тем же агентам. Так что если плохие игроки могут это найти, хорошим игрокам это тоже по силам. Мы должны мыслить и действовать иначе.”