Anthropic 的 Frontier Red Team 开发了能够自动发现漏洞的 AI 代理,正在重塑去中心化金融的安全格局。在过去的一年里,这些代理学会了分叉区块链、编写漏洞利用脚本,并在 Docker 容器中榨取流动性池,在不造成金融风险的情况下模拟现实世界的 DeFi 攻击。
12月1日,该团队公布结果,显示在2025年3月之后发生的34起链上漏洞中,能够自主复现其中的19起。通过 Claude Opus 4.5、Sonnet 4.5 和 GPT-5 这类模型,代理实现了约460万美元的模拟利润,透过对合约逻辑的推理并对失败的尝试进行迭代。
成本效率令人惊叹:在 BNB Chain 上对 2,849 个近期 ERC-20 合约运行 GPT-5,成本约为 3,476 美元(约合每份合约 1.22 美元),发现了两个价值 3,694 美元的新型零日漏洞。针对高价值合约,可以通过基于 TVL、部署日期及审计历史的预筛选进一步降低成本,从而推动利用的经济性向可行性迈进。
Anthropic 的基准数据覆盖 2020 年至 2025 年的 405 起真实漏洞,其中 207 个可工作的概念验证样例,模拟的被盗资金高达 5.5 亿美元。漏洞利用自动化减少了对人工审计员的依赖,在不到一小时内就能交付概念验证的漏洞利用,大幅超越传统的月度审计周期。
防御对策依赖于 AI 集成:在 CI/CD 流水线中持续的基于代理的模糊测试、带有暂停开关和时间锁的加速补丁周期,以及积极的预部署测试。随着利用能力每 1.3 个月翻倍,防守者必须匹配这一节奏,以降低系统性风险。
这一自动化军备竞赛不仅限于 DeFi:相同的技术同样适用于 API 端点、基础设施配置和云安全。关键问题不是代理是否会创造漏洞——它们已经在做——而是防守方是否能够先部署等效能力。
评论 (0)