L'equip Frontier Red d'Anthropic va desenvolupar agents d'IA capaços de descobriment automatitzat d'aprofitaments, reconfigurant el panorama de la seguretat per a les finances descentralitzades. Durant l'últim any, aquests agents van aprendre a bifurcar cadenes de blocs, a redactar scripts d'aprofitament i a drenar piscines de liquiditat dins de contenidors Docker, simulant atacs DeFi del món real sense risc financer.
El 1 de desembre, l'equip va publicar resultats que demostren la reconstrucció autònoma de 19 de 34 aprofitaments en cadena que van ocórrer després de març de 2025. Utilitzant models com Claude Opus 4.5, Sonnet 4.5 i GPT-5, els agents van aconseguir beneficis simulats de 4,6 milions de dòlars, raonant sobre la lògica dels contractes i iterant sobre intents fallits.
Les eficiències de costos són sorprenents: executar GPT-5 contra 2 849 contractes ERC-20 recents a la cadena BNB costa al voltant de 3 476 dòlars (uns 1,22 dòlars per contracte), descobrint dues vulnerabilitats zero-day noves per valor de 3 694 dòlars. Dirigir-se a contractes d'alt valor podria reduir encara més els costos filtrant prèviament segons el TVL (valor total bloquejat), la data de desplegament i l'historial d'auditories, impulsant l'economia dels aprofitaments cap a la viabilitat.
La referència d'Anthropic de 405 aprofitaments reals de 2020 a 2025 va veure 207 proves de concepte funcionals, simulant 550 milions de dòlars en fons sostrets. L'automatització dels aprofitaments redueix la dependència de auditors humans, proporcionant proves de concepte en menys d'una hora, superant amb gran velocitat els cicles d'auditoria mensual tradicionals.
Les mesures defensives dependèn de la integració de IA: fuzzing continu basat en agents en pipelines CI/CD, cicles de pegat accelerats amb interruptors de pausa i bloquejos temporals, i proves prèdesplegament agressives. Com que la capacitat d'aprofitament s'duplica cada 1,3 mesos, els defensors han d'igualar aquest ritme per mitigar el risc sistèmic.
Aquesta cursa d'armaments d'automatització s'estén més enllà de DeFi: les mateixes tècniques s'apliquen a punts d'API, configuracions d'infraestructura i seguretat al núvol. La qüestió crítica no és si els agents crearan aprofitaments —ja ho fan—, sinó si els defensors poden desplegar capacitats equivalents primer.
Comentaris (0)