Edgen Crypto·Dec 02 2025, 03:16新研究表明,前沿 AI 模型能够自主发现并利用智能合约中的安全漏洞,其水平与人类专家相当。这些模型成功复制了历史漏洞利用,并发现了新的零日漏洞,预示着去中心化金融 (DeFi) 生态系统面临的威胁格局正在显著升级。
最近的研究表明,先进的 AI 模型可以作为自主代理,系统地探测和利用区块链智能合约中的漏洞。在一项重要的测试中,AI 代理成功复制了对 405 个历史漏洞合约中 207 个的攻击,成功率超过 51%。这些模拟攻击将导致理论上 5.5 亿美元的盗窃。一项专门针对 以太坊 和 币安智能链 (BSC) 上的合约进行评估的报告称,AI 的成功率为 62.96%。
至关重要的是,该研究超越了复制已知漏洞。AI 模型能够识别并针对币安智能链上的两个先前未知的零日漏洞制作利用程序。这种从被动代码分析到主动、智能漏洞利用生成的飞跃,标志着针对 Web3 基础设施的自动化网络威胁进入了一个新领域。
AI 自动化发现和执行智能合约黑客攻击的能力,给 DeFi 市场带来了巨大的看跌压力。这提升了散户和机构投资者的感知风险,可能会抑制资金流入和平台使用。研究结果表明,恶意行为者现在可以部署可扩展的自动化攻击,从根本上改变发起此类攻击的经济考量。
这一新现实可能会引发“质量逃离”,资金流向能够展示卓越的下一代安全审计和防御机制的平台。开发 AI 驱动的防御工具来对抗这些 AI 驱动的攻击,现在是 DeFi 协议生存和增长的关键必需品。
市场和安全专家对这些发现提供了不同的观点。纽约大学副教授 Brendan Dolan-Gavitt 强调了这项研究的重要性,指出它展示了“在相对大量的代码中进行真实的零日发现”。从漏洞发现到漏洞利用生成,自动化整个攻击生命周期的能力被视为网络犯罪分子强大的新工具。
然而,一些专家警告不要夸大当前的能力。Luta Security 的创始人兼首席执行官 Katie Moussouris 指出,虽然这项工作“非常棒”,但表现最好的 AI 组合在一次测试中只能识别大约 2% 的漏洞,这表明精英人类专业知识仍然更胜一筹。这表明 AI 利用已知漏洞模式的能力与发现真正新颖、复杂漏洞的能力之间存在明显区别。
这一事件强调了人工智能在网络安全领域的双重用途性质。虽然 AI 有潜力增强代码安全性并自动化审计,但它同时为对手提供了扩展攻击的强大工具。在 币安智能链 上发现 AI 生成的漏洞尤其值得注意,因为该生态系统此前曾被使用其合约托管恶意软件的攻击者攻击。
挑战不仅限于单个区块链或 AI 模型。这项研究强调了整个 Web3 空间的系统性问题,即漏洞可以通过分叉的项目代码库传播。近期,AI 驱动的攻击者与 AI 驱动的防御系统之间很可能展开一场军备竞赛,迫使智能合约安全管理和审计方式迅速演变。