比审计速度更快的数据窃取型AI

DeFi领域手动审计的时代正在结束。GPT-5和Claude能够自主识别并利用以太坊智能合约中的漏洞。DeFi领域未来的完整性现在取决于行业是否能够以威胁产生的速度部署防御性人工智能。

人工智能如何执行漏洞利用

智能合约是一种自我执行的程序，主要在以太坊虚拟机（EVM）上使用Solidity语言编写。其运作原理是：输入资金，满足条件，获得输出。漏洞则是编码缺陷，允许攻击者绕过预期的条件。

GPT-5和Claude Opus 4.5作为"代理式漏洞利用生成器"，采用复杂的迭代流程：

AI代理获得目标——合约地址、区块号。它使用专用工具获取源代码、合约ABI（应用二进制接口）以及当前链上状态。
模型分析代码和状态，寻找已知的弱点模式。然后，它会合成一个漏洞利用概念验证（PoC），生成一个新的恶意Solidity合约。
在模拟的区块链环境（例如，使用Foundry分叉的网络）中运行PoC。这是关键步骤。如果漏洞利用失败，AI会分析交易追踪和回退原因，利用此反馈来优化并生成新的、更高效的漏洞利用脚本。
代理仅在漏洞利用产生净正收益时报告成功。

研究人员已成功利用这些代理，在一个基准测试中复现了数百个历史漏洞，共生成了价值460万美元的模拟漏洞利用。在对最近部署的、未经审计的合约进行模拟攻击时，这些代理成功发现了零日漏洞——即此前无人知晓的缺陷。

经济不对称与审计危机

面对这种新级别的威胁，手动审计无法扩展。人类审计师难以跟上步伐，这在市场上有所体现：Chainalysis报告称，2024年DeFi相关的黑客攻击占据了所有加密货币盗窃的主导比例，而AI漏洞利用可能会加速这一趋势。这种日益增长的风险危及整个以太坊生态系统的用户采用率和市场价值。

最著名的2016年DAO攻击。重入漏洞发生在合约向外部地址发送以太币，然后在外部调用之后才更新其内部状态时。攻击者的合约包含一个回调函数，当收到以太币时，会在余额减少之前再次调用原始合约以提取更多资金。这使得攻击者能够多次循环提取。AI可以轻松模拟并执行这种多交易序列，这对单纯的静态分析来说是复杂的。