Anthropic AI एजेंट्स स्मार्ट कॉन्‍ट्रैक्ट्स सुरक्षा त्रुटियाँ उजागर करते हैं

एंथ्रोपिक की फ्रंटियर रेड टीम ने ऐसी AI एजेंट विकसित किए जो स्वचालित एक्सप्लॉइट खोज में सक्षम हैं, विकेंद्रीकृत वित्त (DeFi) के लिए सुरक्षा परिदृश्य को नया आकार दे रहे हैं। पिछले एक साल में इन एजेंटों ने ब्लॉकचेन को फोर्क करना, एक्सप्लॉइट स्क्रिप्ट बनाना, और Docker कंटेनरों के भीतर लिक्विडिटी पूल से तरलता खींचना सीखा, ताकि वास्तविक-विश्व DeFi हमलों की नकल वित्तीय जोखिम के बिना संभव हो सके।

1 दिसंबर को, टीम ने 34 ऑन-चेन एक्सप्लॉइट्स में से 19 के स्वायत्त पुनर्निर्माण के परिणाम प्रकाशित किए, जो मार्च 2025 के बाद हुए थे। Claude Opus 4.5, Sonnet 4.5, और GPT-5 जैसे मॉडलों का उपयोग करके, एजेंटों ने अनुमानित लाभ $4.6 मिलियन हासिल किए, अनुबंध लॉजिक के सहारे तर्क करते हुए और असफल प्रयासों पर पुनरावृत्ति करते हुए।

लागत-प्रभावशीलता उल्लेखनीय है: BNB चेन पर 2,849 हालिया ERC-20 कॉन्ट्रैक्ट्स के विरुद्ध GPT-5 चलाने की लागत लगभग $3,476 रही (हर कॉन्ट्रैक्ट के लिए लगभग $1.22), जिससे दो नई ज़ीरो-डे कमजोरियाँ मिलीं जिनकी कीमत $3,694 थी। उच्च-मूल्य के कॉन्ट्रैक्ट्स को लक्ष्य बनाकर TVL, तैनाती तिथि, और ऑडिट इतिहास के आधार पर पूर्व-फिल्टरिंग करके लागतें और कम की जा सकती हैं, जिससे एक्सप्लॉइट इकनॉमिक्स व्यवहार्य की दिशा में जाएं।

एंथ्रोपिक के बेंचमार्क में 2020 से 2025 तक 405 वास्तविक एक्सप्लॉइट्स में से 207 काम करने वाले कॉन्सेप्ट-प्रूफ थे, जिन्होंने चोरी गए फंड की राशि $550 मिलियन का अनुकरण किया। एक्सप्लॉइट ऑटोमेशन मानवीय ऑडिटरों पर निर्भरता कम करता है, एक घंटे से कम समय में कॉन्सेप्ट-प्रूफ एक्सप्लॉयट्स देता है—पारंपरिक मासिक ऑडिट चक्रों से काफी तेज़ रफ्तार दिखाते हैं।

रक्षा उपाय AI एकीकरण पर निर्भर हैं: CI/CD पाइपलाइनों में सतत एजेंट-आधारित फज़िंग, pause switches और timelocks के साथ पैच चक्रों को तेज़ करना, और आक्रामक पूर्व-तैनाती परीक्षण। हर 1.3 महीने में एक्सप्लॉइट क्षमता दोगुनी होने के साथ, रक्षकों को इस गति से मेल खाना होगा ताकि प्रणालीगत जोखिम कम किया जा सके।

यह ऑटोमेशन-हथियारों की दौड़ DeFi से परे फैली है: वही तकनीकें API एन्डपॉइंट्स, इन्फ्रास्ट्रक्चर कॉन्फ़िगरेशनों और क्लाउड सुरक्षा पर भी लागू होती हैं। अहम सवाल यह नहीं है कि एजेंट एक्सप्लॉइट बनाएंगे या नहीं—वे पहले से ही बनाते हैं—बल्कि यह है कि रक्षक क्या पहले समान क्षमताओं को तैनात कर पाएंगे?