Anthropic 的 Frontier Red Team 開發出能自動發現漏洞的 AI 代理,重新塑造去中心化金融的安全格局。在過去一年中,這些代理學會了分叉區塊鏈、撰寫漏洞腳本,並在 Docker 容器中耗盡流動性池,模擬現實世界的 DeFi 攻擊,卻不涉及財務風險。
在 12 月 1 日,該團隊公布了結果,展現了對 2025 年 3 月後發生的 34 起鏈上漏洞中自動重建 19 起的能力。使用 Claude Opus 4.5、Sonnet 4.5 與 GPT-5 等模型,這些代理實現了模擬利潤 460 萬美元,透過合約邏輯推理並對失敗嘗試進行迭代。
成本效率令人震撼:在 BNB Chain 上用 GPT-5 針對 2,849 份最近的 ERC-20 合約進行測試,成本大約為 3,476 美元(約每份合約 1.22 美元),發現兩個價值 3,694 美元的新型零日漏洞。透過先行根據 TVL(總鎖定價值)、部署日期與審計歷史等條件進行篩選,針對高價值合約可以進一步降低成本,將漏洞經濟推向可行性。
Anthropic 的基準測試涵蓋 2020 年至 2025 年的 405 起實際漏洞,其中 207 起具可用的概念驗證,模擬竊取資金總額達 5.5 億美元。漏洞自動化降低對人力審計的依賴,能在不到一小時內交付概念驗證的漏洞——遠超過傳統每月審計週期。
防禦性對策取決於 AI 整合:在 CI/CD 流水線中進行連續的以代理為基礎的模糊測試、搭配暫停開關與時控機制的加速修補週期,以及積極的預佈署測試。當漏洞能力每 1.3 個月翻一倍時,防守方必須追上這一速度以降低系統性風險。
這場自動化軍備戰爭不僅限於 DeFi:相同的技術也適用於 API 端點、基礎設施配置與雲端安全。核心問題不是代理是否會創造漏洞——它們早就會——而是防守方是否能先部署同等能力。
評論 (0)