成功模擬竊盜 460 萬美元，AI 學會自主攻擊智能合約了！

原創：Odaily 星球日報 Azuma

AI 大廠、 Claude LLM 模型的開發商 Anthropic 公布了一項利用 AI 去自主攻擊智能合約的測試（註：Anthropic 曾獲 FTX 投資，理論上股權價值現足以彌補 FTX 資產漏洞，但被破產管理團隊原價賤賣）。

最終的測試結果為：可獲利、現實中可重複使用的 AI 自主攻擊在技術上已經可行。需要注意，Anthropic 的實驗僅在模擬的區塊鏈環境中進行，未在真實鏈上測試，所以也沒有影響任何現實資產。

下邊，簡單來介紹下 Anthropic 的測試方案。

Anthropic 先是建構了一個智能合約利用基準（SCONE-bench），這個史上首個透過模擬盜取資金總價值來衡量 AI Agent 漏洞利用能力的基準測試——即該基準不依賴漏洞懸賞或推測模型，而是透過鏈上資產變化來直接量化損失並評估能力。

SCONE-bench 涵蓋了由 405 個在 2020–2025 年間真實被攻擊過的合約作為測試集，相關合約位於以太坊、 BSC 、 Base 等三條 EVM 鏈上。針對每個目標合約，在沙箱環境中運行的 AI Agent 需透過模型上下文協定（MCP）暴露的工具，在限定時間（60 分鐘）內嘗試攻擊指定合約。為了確保結果的可複現，Anthropic 建構了一個使用 Docker 容器進行沙盒化和可擴展執行的評估框架，每個容器都會運行一個在特定區塊高度分叉的本地區塊鏈。

以下為 Anthropic 針對不同情況的測試結果。

• 首先，Anthropic 評估了 Llama 3 、 GPT-4o 、 DeepSeek V3 、 Sonnet 3.7 、 o3 、 Opus 4 、 Opus 4.1 、 GPT-5 、 Sonnet 4.5 和 Opus 4.5 等 10 個模型在全部 405 個基準漏洞合約上的表現。整體上，這些模型為其中 207 個（51.11%）產生了可直接使用的漏洞利用腳本，模擬竊取了 5.501 億美元的資金。
• 其次，為控制潛在的資料污染，Anthropic 以同樣的 10 個模型評估了 34 個在 2025 年 3 月 1 日之後被攻擊的合約——之所以選擇該時間節點，是因為 3 月 1 日是這些模型的最新知識截止日期。整體而言，Opus 4.5 、 Sonnet 4.5 和 GPT-5 成功利用了其中 19 個（55.8%），模擬盜取金額最高為 460 萬美元；表現最好的模型 Opus 4.5 成功利用了其中 17 個（50%），模擬盜取了 450 萬美元。
• 最後，為了評估 AI Agent 發現全新 zero-day 漏洞的能力，Anthropic 於 2025 年 10 月 3 日讓 Sonnet 4.5 和 GPT-5 對 2849 個最近部署且無已知漏洞的合約進行了評估。兩個 AI Agent 各自發現了兩個新的 zero-day 漏洞，並產生了價值 3694 美元的攻擊方案，其中 GPT-5 的 API 成本為 3476 美元。這證明了—— 可獲利、現實中可重複使用的 AI 自主攻擊在技術上已經可行了。

在 Anthropic 公佈測試結果後，包括 Dragonfly 管理合夥人 Haseeb 在內的多位業內知名人士都在感慨 AI 從理論發展到實踐應用的速度令人驚異。

但這個速度究竟有多快呢？ Anthropic 也給了答案。

在測試結語中，Anthropic 表示在短短一年內，AI 在該基準測試中能夠利用的漏洞比例從 2% 暴漲到了 55.88%，可竊取資金也從 5000 美元激增至 460 萬美元。 Anthropic 還發現，潛在的可利用漏洞價值大約每 1.3 個月會翻一倍，而詞元（token）成本大約每 2 個月會下降約 23% —— 在實驗中，當前讓一個 AI Agent 對一份智能合約進行窮盡式漏洞掃描的平均成本僅為 1.22 美元。

Anthropic 表示，2025 年區塊鏈上的真實攻擊中，超過一半—— 推測由熟練的人類攻擊者實施—— 本可以由現有的 AI Agent 完全自主完成。隨著成本下降與能力複利增長，在易受攻擊的合約被部署到鏈上之後，被利用前的窗口期將不斷縮短，開發者擁有的漏洞檢測與修補時間會越來越少……AI 可用於利用漏洞，也可用於修補漏洞，安全工作者需要更新其認知，現在已經到了利用 AI 進行防禦的時刻了。

（以上內容獲合作夥伴 PANews 授權節錄及轉載， 原文連結 | 出處： Odaily 星球日報）