Nedavna studija MATS-a i Anthropic Fellows-a potvrđuje da AI agenti mogu profitabilno iskoristiti ranjivosti u pametnim ugovorima, uspostavljajući “konkretnu donju granicu” za ekonomske štete.
Eksploatacije AI pametnih ugovora: Stručnjak upozorava da bi agenti mogli izazvati godišnje gubitke od 10–20 milijardi dolara u DeFi sektoru
NAPISAO
PODIJELI
Noviteti u Iskorištavanju i Alarmantno Smanjenje Troškova
Ubrzano nastojanje da se automatiziraju ljudski zadaci s pomoćnim umjetnom inteligencijom (AI) sada se suočava s značajnim, kvantificiranim nedostatkom: ovi agenti mogu profitabilno iskoristiti ranjivosti pametnih ugovora. Nedavna istraživačka studija od strane MATS-a i Anthropic Fellows koristila je mjerilo za iskorištavanje pametnih ugovora (SCONE-bench) kako bi izmjerila ovaj rizik.
Studija je uspješno primijenila modele poput Claude Opus 4.5, Claude Sonnet 4.5, i GPT-5 za razvoj iskorištavanja simuliranih na vrijednost od 4,6 milijuna dolara. SCONE-bench se sastoji od 405 pametnih ugovora koji su stvarno iskorišteni između 2020. i 2025. U njihovom izvješću studije od 1. prosinca, tim je naveo da uspjeh AI agenata u razvijanju iskorištavanja testiranog na blockchain simulatoru uspostavlja “konkretnu donju granicu za ekonomsku štetu koju ove sposobnosti mogu omogućiti.”
Istraživanje je otišlo dalje testirajući Sonnet 4.5 i GPT-5 protiv 2.849 nedavno implementiranih ugovora bez poznatih ranjivosti. Agenti su dokazali da mogu generirati profitabilna iskorištavanja čak i u ovom novom okruženju: Oba agenta otkrila su dvije nove zero-day ranjivosti i proizvela iskorištavanja vrednovana na 3.694 dolara. GPT-5 je postigao ovaj uspjeh s cijenom API-ja od samo 3.476 dolara.
Pročitajte više: Od DeFi-a do Defcona: TRM Upozorava na Državni Kibernetički Napad
Ovaj ishod služi kao dokaz koncepta za tehničku izvodljivost profitabilnog, stvarnog autonomnog iskorištavanja, naglašavajući hitnu potrebu za proaktivnim AI-vođenim obrambenim mehanizmima.
Možda najalarmantniji nalaz je dramatično povećanje učinkovitosti: napadač sada može postići približno 3,4 puta više uspješnih iskorištavanja za isti proračun računalnih procesa kao prije šest mjeseci. Štoviše, troškovi tokena za uspješna iskorištavanja su opali za nevjerojatnih 70%, čineći ove moćne agente značajno jeftinijim za pokretanje.
Uloga Agentnih Petlji i Poboljšanje Modela
Jean Rausis, suosnivač u SMARDEX-u, pripisuje ovo oštro smanjenje troškova prvenstveno agentnim petljama. Ove petlje omogućuju višestepene, samoispravljajuće radne tokove koji smanjuju rasipanje tokena tijekom analize ugovora. Rausis također ističe ulogu poboljšane arhitekture modela:
“Veći kontekstni prozori i alati za pamćenje u modelima poput Claude Opus 4.5 i GPT-5 omogućavaju kontinuirane simulacije bez ponavljanja, povećavajući učinkovitost od 15-100% u dugim zadacima.”
Ističe da ova optimizacijska dobit nadmašuje poboljšanja u detekciji ranjivosti (koja je povećala uspjeh na SCONE-bench-u s 2% na 51%), jer se fokusiraju na optimizaciju vremena izvršavanja, a ne samo na pronalaženje nedostataka.
Iako studija pokazuje simulirani trošak od 4,6 milijuna dolara, stručnjaci strahuju da bi stvarni ekonomski trošak mogao biti znatno veći. Rausis procjenjuje da bi stvarni rizici mogli biti 10-100x veći, potencijalno dosežući od 50 milijuna do 500 milijuna dolara ili više po većem iskorištavanju. Upozorava da bi s razvojem AI-ja, ukupna izloženost sektora—uzimajući u obzir nemodelirane poluge i neuspjehe orakla—mogla doseći 10–20 milijardi dolara godišnje.
Rad MATS-a i Anthropic Fellows-a zaključuje s upozorenjem: iako bi pametni ugovori mogli biti početna meta ovog vala automatiziranih napada, vlasnički softver je vjerojatno sljedeća meta kako se agenti poboljšavaju u obrnutoj inženjeringu.
Ključno, rad također podsjeća čitatelje da se isti AI agenti mogu implementirati za obranu kako bi zakrpali ranjivosti. Kako bi se ublažila sistemska financijska prijetnja od lako automatiziranih DeFi napada, Rausis predlaže trodijelni akcijski plan za kreatore politika i regulatore: nadzor AI-ja, nove standarde revizije i globalnu koordinaciju.
FAQ ❓
- Što je studija otkrila o AI agentima? AI modeli poput GPT‑5 i Claude iskoristili su pametne ugovore vrijedne 4,6 milijuna USD u simulacijama.
- Zašto ovaj rizik eskalira diljem svijeta? Troškovi tokena za iskorištavanja pali su za 70%, što čini napade jeftinijima i skalabilnijima preko regija.
- Može li financijski utjecaj proširiti se izvan DeFi-a? Stručnjaci upozoravaju da stvarni gubici mogu doseći od 50 milijuna do 500 milijuna dolara po iskorištavanju, s globalnom izloženošću do 20 milijardi dolara godišnje.
- Kako mogu reagirati regulatori i programeri? Istraživači potiču nadzor AI-ja, jače standarde revizije i prekograničnu koordinaciju kako bi se obranili sustavi.
