L'équipe Rouge Frontier d'Anthropic a développé des agents IA capables de la découverte automatisée d'exploits, remodelant le paysage de la sécurité pour la finance décentralisée. Au cours de l'année écoulée, ces agents ont appris à forker des blockchains, à concevoir des scripts d'exploitation et à drainer des pools de liquidités dans des conteneurs Docker, simulant des attaques DeFi réelles sans risque financier.
Le 1er décembre, l'équipe a publié des résultats démontrant la reconstruction autonome de 19 des 34 exploits sur chaîne qui se sont produits après mars 2025. En utilisant des modèles tels que Claude Opus 4.5, Sonnet 4.5 et GPT-5, les agents ont enregistré des profits simulés de 4,6 millions de dollars, en raisonnant sur la logique des contrats et en itérant sur les tentatives échouées.
Les gains de coût sont saisissants : faire tourner GPT-5 sur 2 849 contrats ERC-20 récents sur la chaîne BNB coûte environ 3 476 dollars (environ 1,22 dollar par contrat), découvrant deux vulnérabilités zero-day nouvelles valant 3 694 dollars. Cibler des contrats à forte valeur pourrait réduire encore les coûts en préfiltrant selon la TVL, la date de déploiement et l'historique d'audit, orientant l'économie des exploits vers la viabilité.
Le référentiel d'Anthropic sur 405 exploits réels de 2020 à 2025 a compté 207 preuves de concept fonctionnelles, simulant 550 millions de dollars de fonds volés. L'automatisation des exploits réduit la dépendance envers les auditeurs humains, fournissant des exploits de type preuve de concept en moins d'une heure — dépassant largement les cycles d'audit mensuels traditionnels.
Les contre-mesures défensives dépendent de l'intégration de l'IA : un fuzzing continu basé sur des agents dans les pipelines CI/CD, des cycles de correctifs accélérés avec interrupteurs de pause et verrous temporels, et des tests prédéploiement agressifs. Si la capacité d'exploitation double tous les 1,3 mois, les défenseurs doivent suivre ce rythme pour atténuer le risque systémique.
Cette course aux armes d'automatisation s'étend au-delà de la DeFi : les mêmes techniques s'appliquent aux points de terminaison API, aux configurations d'infrastructure et à la sécurité du cloud. La question cruciale n'est pas de savoir si les agents créeront des exploits — ils le font déjà — mais si les défenseurs peuvent déployer des capacités équivalentes en premier.
Commentaires (0)