比審計速度更快的數據竊取型AI

DeFi領域手動審計的時代正在結束。GPT-5和Claude能夠自主識別並利用以太坊智能合約中的漏洞。DeFi領域未來的完整性現在取決於行業是否能夠以威脅產生的速度部署防禦性人工智慧。

人工智慧如何執行漏洞利用

智能合約是一種自我執行的程序，主要在以太坊虛擬機（EVM）上使用Solidity語言編寫。其運作原理是：輸入資金，滿足條件，獲得輸出。漏洞則是編碼缺陷，允許攻擊者繞過預期的條件。

GPT-5和Claude Opus 4.5作為"代理式漏洞利用生成器"，採用複雜的迭代流程：

AI代理獲得目標——合約地址、區塊號。它使用專用工具取得原始碼、合約ABI（應用二進位介面）以及當前鏈上狀態。
模型分析代碼和狀態，尋找已知的弱點模式。然後，它會合成一個漏洞利用概念驗證（PoC），生成一個新的惡意Solidity合約。
在模擬的區塊鏈環境（例如，使用Foundry分叉的網絡）中執行PoC。這是關鍵步驟。如果漏洞利用失敗，AI會分析交易追蹤和回退原因，利用此回饋來優化並生成新的、更高效的漏洞利用腳本。
代理僅在漏洞利用產生淨正收益時報告成功。

研究人員已成功利用這些代理，在一個基準測試中復現了數百個歷史漏洞，共生成了價值460萬美元的模擬漏洞利用。在對最近部署的、未經審計的合約進行模擬攻擊時，這些代理成功發現了零日漏洞——即此前無人知曉的缺陷。

經濟不對稱與審計危機

面對這種新級別的威脅，手動審計無法擴展。人類審計師難以跟上步伐，這在市場上有所體現：Chainalysis報告稱，2024年DeFi相關的黑客攻擊佔據了所有加密貨幣竊盜的主導比例，而AI漏洞利用可能會加速這一趨勢。這種日益增長的風險危及整個以太坊生態系統的用戶採用率和市場價值。

最著名的2016年DAO攻擊。重入漏洞發生在合約向外部地址發送以太幣，然後在外部呼叫之後才更新其內部狀態時。攻擊者的合約包含一個回呼函數，當收到以太幣時，會在餘額減少之前再次呼叫原始合約以提取更多資金。這使得攻擊者能夠多次循環提取。AI可以輕鬆模擬並執行這種多交易序列，這對單純的靜態分析來說是複雜的。