Anthropic 的前沿红队开发了具备自动化漏洞发现能力的 AI 代理,正在重塑去中心化金融的安全格局。在过去的一年里,这些代理学会了分叉区块链、编写漏洞利用脚本,并在 Docker 容器中抽取流动性池资金,从而在没有金融风险的情况下模拟现实世界的 DeFi 攻击。
12月1日,该团队公布了结果,展示在2025年3月之后发生的34起链上漏洞中,已实现自主重建19起。使用 Claude Opus 4.5、Sonnet 4.5 和 GPT-5 等模型,代理达到了约460万美元的仿真利润,通过对合约逻辑进行推理并对失败尝试进行迭代。
成本效率令人瞩目:在 BNB 链对 2,849 个最近的 ERC-20 合约运行 GPT-5,成本大约为 3,476 美元(约 1.22 美元/合约),发现了两个新颖的零日漏洞,价值 3,694 美元。通过基于 TVL、部署日期和审计历史进行预筛选,针对高价值合约可进一步降低成本,使漏洞利用的经济性趋于可行。
Anthropic 对 2020 至 2025 年的 405 起真实漏洞的基准测试中,207 起为可工作的概念验证,模拟被盗资金高达 5.5 亿美元。漏洞利用自动化降低了对人工审计员的依赖,在不到一个小时内交付概念验证型漏洞利用,大幅超越传统的月度审计周期。
防御性对策取决于 AI 集成:在 CI/CD 流水线中进行持续的基于代理的模糊测试、配备暂停开关和时间锁的加速打补丁周期,以及积极的预部署测试。随着漏洞利用能力约每 1.3 个月翻倍,防守方必须达到同样的速度以降低系统性风险。
这场自动化军备竞赛不仅限于 DeFi:相同的技术也适用于 API 端点、基础设施配置和云安全。关键问题并非代理是否会制造漏洞——它们已经在做——而是防守方是否能够先部署出同等的能力。
评论 (0)