MATS ve Anthropic Fellows tarafından yapılan son bir araştırma, yapay zeka ajanlarının akıllı sözleşme güvenlik açıklarını kârlı bir şekilde kullanabileceğini doğrulayarak ekonomik zarar için “somut bir alt sınır” belirliyor.
AI Akıllı Sözleşme Sömürüleri: Uzmanlar, Ajanların DeFi Sektöründe Yıllık 10-20 Milyar Dolarlık Kayıplara Neden Olabileceği Konusunda Uyarıyor
YAZAN
PAYLAŞ
Yeni İstismarlar ve Alarm Veren Maliyet Azaltma
Yapay Zeka (AI) ajanları ile insan görevlerini otomatikleştirme konusundaki hızlanan itici güç, şimdi önemli ve ölçülebilir bir dezavantajla karşı karşıya: bu ajanlar akıllı sözleşme güvenlik açıklarını kârlı bir şekilde kullanabiliyor. MATS ve Anthropic Fellows tarafından yapılan son araştırma çalışması, bu riski ölçmek için Akıllı SÖZleşme İstismarı ölçütünü (SCONE-bench) kullandı.
Çalışma, Claude Opus 4.5, Claude Sonnet 4.5 ve GPT-5 gibi modelleri 4,6 milyon dolar değerinde olduğu simüle edilen istismarları geliştirmekte başarıyla konuşlandırdı. SCONE-bench, 2020 ile 2025 arasında gerçekten istismar edilen 405 akıllı sözleşmeden oluşuyor. Ekibin 1 Aralık tarihli çalışma raporunda, blok zinciri simülatöründe test edilen istismarları geliştirmedeki AI ajanlarının başarısının, “bu yeteneklerin sağlayabileceği ekonomik zarar için somut bir alt sınır” oluşturduğunu belirttiler.
Araştırma daha da ileri giderek Sonnet 4.5 ve GPT-5’i bilinen bir güvenlik açığı olmayan yeni konuşlandırılmış 2,849 sözleşmeye karşı test etti. Ajanlar, bu yeni ortamda bile kârlı istismarlar üretebileceklerini kanıtladılar: Her iki ajan da iki yeni sıfırıncı gün açığını ortaya çıkardı ve 3.694 dolar değerinde istismarlar üretti. GPT-5 bu başarıyı sadece 3.476 dolar API maliyetiyle elde etti.
Daha Fazla Oku: DeFi’den Defcon’a: TRM, Millet Devleti Siber Saldırılarına Karşı Uyarıyor
Bu sonuç, kârlı, gerçek dünya otonom istismarının teknik yapılabilirliği için bir kanıt niteliğindedir ve proaktif AI odaklı savunma mekanizmalarına olan acil ihtiyacı vurgulamaktadır.
Belki de en endişe verici bulgu, verimlilikteki dramatik artıştır: bir saldırgan şimdi altı ay öncesine göre aynı hesaplama bütçesiyle 3,4 kat daha fazla başarılı istismar gerçekleştirebilir. Ayrıca, başarılı istismarlar için token maliyetleri şaşırtıcı bir şekilde %70 düştü ve bu da bu güçlü ajanları çalıştırmayı önemli ölçüde daha ucuz hale getirdi.
Ajanik Döngülerin ve Model İyileştirmelerinin Rolü
SMARDEX’in kurucu ortağı Jean Rausis, bu keskin maliyet düşüşünü esas olarak ajan döngülerine atfediyor. Bu döngüler, sözleşme analizinde token israfını azaltan çok adımlı, kendini düzeltici iş akışlarını mümkün kılar. Rausis ayrıca geliştirilmiş model mimarisinin rolünü de vurguluyor:
“Claude Opus 4.5 ve GPT-5 gibi modellerdeki daha büyük bağlam pencereleri ve bellek araçları, tekrar yapmadan sürdürülebilir simülasyonlara olanak tanır ve uzun görevlerde verimliliği %15-100 artırır.”
Bu optimizasyon kazançlarının, SCONE-bench’te başarıyı yalnızca %2’den %51’e çıkarmasına rağmen, yalnızca kusurları saptamaktan ziyade çalışma süresini optimize etmeye odaklanarak ham güvenlik açığı tespit iyileştirmelerini aştığını belirtmektedir.
Çalışma, 4,6 milyon dolarlık simüle edilmiş bir maliyet oluştursa da, uzmanlar gerçek ekonomik maliyetin önemli ölçüde daha yüksek olabileceğinden korkuyor. Rausis, gerçek risklerin 10-100 kat daha yüksek olabileceğini, büyük bir istismarın potansiyel olarak 50 milyon ila 500 milyon dolara veya daha fazlasına ulaşabileceğini tahmin ediyor. AI’nin ölçeklenmesiyle birlikte, modellik yapılmayan kaldıraç ve oracle hatalarını da hesaba katan toplam sektör çapında maruziyetin yıllık 10–20 milyar dolara ulaşabileceği konusunda uyarıyor.
MATS ve Anthropic Fellows makalesi, bu dalganın ilk hedefi olarak otomatikleştirilmiş saldırıların akıllı sözleşmeleri olabilirken, ajanlar tersine mühendislikte geliştikçe tescilli yazılımın bir sonraki hedef olacağı konusunda uyararak sona eriyor.
Kritik olarak, makale ayrıca aynı AI ajanlarının güvenlik açıklarını yamalamak için savunma amacıyla da konuşlandırılabileceğini okurlara hatırlatıyor. Kolayca otomatikleştirilen DeFi saldırılarından kaynaklanan sistemik finansal tehdidi azaltmak için, Rausis, politika yapıcılar ve düzenleyiciler için üç adımlı bir eylem planı öneriyor: AI gözetimi, yeni denetim standartları ve küresel koordinasyon.
SSS ❓
- Çalışma AI ajanları hakkında neyi ortaya koydu? GPT‑5 ve Claude gibi AI modelleri, simülasyonlarda 4,6 milyon dolar değerinde akıllı sözleşmeleri istismar etti.
- Bu risk neden dünya çapında artıyor? İstismarlar için token maliyetleri %70 azaldı, saldırıları daha ucuz ve daha ölçeklenebilir hale getirdi.
- Finansal etki DeFi’nin ötesine geçebilir mi? Uzmanlar, gerçek kayıpların istismar başına 50 milyon ila 500 milyon dolara ulaşabileceği ve küresel maruziyetin yıllık 20 milyar dolara kadar çıkabileceği konusunda uyarıyor.
- Düzenleyiciler ve geliştiriciler nasıl yanıt verebilir? Araştırmacılar, AI gözetimi, daha güçlü denetim standartları ve sınır ötesi koordinasyon çağrısında bulunarak sistemleri savunmayı öneriyor.
