Peringatan! Agen AI berhasil menembus smart contract untuk mencuri lebih dari 450 juta dolar aset simulasi, laporan Anthropic mengungkap krisis keamanan Keuangan Desentralisasi.

Laporan penelitian terbaru dari perusahaan bintang AI Anthropic telah membunyikan alarm untuk seluruh industri enkripsi. Eksperimen menunjukkan bahwa agen AI canggih saat ini (seperti Claude Sonnet 4.5) dapat secara mandiri menemukan dan memanfaatkan kerentanan dalam smart contract, berhasil menyerang lebih dari setengah kontrak uji dalam lingkungan simulasi, bahkan menemukan dua “zero-day vulnerability” yang sepenuhnya baru. Laporan tersebut memperingatkan bahwa dengan penurunan tajam biaya penggunaan AI dan lonjakan keuntungan dari serangan, sistem keuangan desentralisasi berbasis blockchain menghadapi perang keamanan otomatis yang belum pernah terjadi sebelumnya. Ini adalah ancaman yang serius, sekaligus menandakan bahwa era baru keamanan melawan AI telah tiba.

Kotak Pandora Telah Dibuka: AI Perwakilan Menunjukkan Daya Serang yang Mengagumkan

Saat orang-orang masih membahas bagaimana AI akan mengubah masa depan, laporan dari Anthropic mengungkapkan sebuah kenyataan mendesak: agen AI telah memiliki kemampuan praktis yang cukup untuk mengancam keamanan aset blockchain. Perusahaan tersebut melakukan simulasi yang ketat, menempatkan model AI dalam lingkungan blockchain yang disimulasikan, dengan sasaran termasuk 34 smart contract yang telah benar-benar diserang dalam sejarah dan diterapkan setelah Maret 2025. Hasilnya mengejutkan, agen AI berhasil menembus 17 di antaranya, mencuri total aset simulasi senilai 4,5 juta dolar.

Ketersebaran ancaman ini lebih mencolok. Dalam pengujian benchmark yang diperluas, Anthropic memilih 405 kontrak yang diterapkan di blockchain seperti Ethereum, BNB Smart Chain, dan Base antara tahun 2020 hingga 2025 untuk diuji. Model AI berhasil menyerang 207 di antaranya, dengan tingkat keberhasilan lebih dari 50%, mensimulasikan pencurian dana hingga mencapai 5,5 juta dolar. Laporan tersebut menyatakan dengan tegas bahwa sebagian besar serangan blockchain yang dilakukan oleh ahli manusia pada tahun 2025, secara teori dapat dilakukan secara mandiri oleh agen AI saat ini. Ini berarti ambang serangan bergerak dari “memerlukan keterampilan tinggi” dengan cepat menuju “dapat diotomatisasi dan dilakukan secara massal.”

Yang paling mengkhawatirkan bagi para ahli keamanan adalah “kemampuan inovasi” yang ditunjukkan oleh AI. Dalam pemindaian terhadap 2849 kontrak yang baru-baru ini diterapkan dan tidak memiliki kerentanan yang diketahui, Claude Sonnet 4.5 dan GPT-5 masih menemukan dua “zero-day vulnerability” baru, dengan potensi nilai pemanfaatan sekitar 3694 dolar. Ini membuktikan bahwa ancaman AI tidak hanya terbatas pada mereproduksi pola serangan yang diketahui, tetapi telah mulai memiliki kemampuan untuk secara aktif menggali ancaman baru dalam kode yang tidak diketahui, keseimbangan serangan dan pertahanan dalam keamanan smart contract sedang benar-benar terganggu.

Mesin Pencari Kerentanan: Bagaimana AI Melihat Risiko Kontrak

Bagaimana AI agen benar-benar melakukan ini? Laporan ini menganalisis secara mendalam jenis kerentanan yang berhasil dimanfaatkan, memberikan kita jendela untuk memahami pola serangan AI. Salah satu jenis yang paling umum adalah “kerentanan otorisasi”, yaitu cacat dalam kontrol akses pada fungsi-fungsi kunci dalam kontrak (seperti menarik dana pengguna) yang gagal memverifikasi identitas pemanggil secara ketat. AI agen dapat secara sistematis melakukan pengujian panggilan dan analisis status untuk secara akurat mengidentifikasi “backdoor” yang tidak terkunci ini.

Jenis kerentanan yang tinggi lainnya melibatkan “fungsi baca yang tidak terlindungi”. Fungsi ini seharusnya tidak mengubah status di blockchain, tetapi jika dirancang dengan buruk, dapat dipanggil secara jahat untuk memanipulasi pasokan token atau variabel status kunci. Agen AI dapat mengidentifikasi vektor serangan potensial ini dengan menjelajahi semua fungsi yang dapat dipanggil dan menganalisis efek samping yang mungkin ditimbulkannya. Selain itu, “kekurangan verifikasi dalam logika pengambilan biaya” juga merupakan masalah umum, di mana penyerang dapat memanfaatkan kerentanan ini untuk secara ilegal menarik biaya transaksi yang terakumulasi.

Dari sudut pandang teknis, alasan mengapa model bahasa besar (LLM) dapat melaksanakan pekerjaan ini adalah karena mereka telah dilatih dengan sejumlah besar kode (termasuk smart contract Solidity), yang memberikan mereka kemampuan asosiasi dan penalaran yang melampaui kecepatan manusia terhadap pola kode, pola cacat yang potensial, dan pola serangan. Mereka dapat berfungsi seperti auditor yang tak kenal lelah, dengan tingkat paralelisme yang sangat tinggi, mencoba berbagai kombinasi input dan urutan panggilan fungsi untuk mencari “kunci” yang dapat menyebabkan keadaan yang tidak diinginkan. Kemampuan tinjauan kode yang otomatis dan berskala ini, jika digunakan untuk tujuan jahat, akan memiliki efisiensi ribuan kali lipat lebih besar daripada peretas manual tradisional.

Penurunan Biaya dan Lonjakan Pendapatan: Model Ekonomi yang Berbahaya

Yang mendorong krisis keamanan ini bukan hanya kemajuan teknologi, tetapi juga sekumpulan logika ekonomi yang berbahaya. Laporan dari Anthropic mengungkapkan tren kunci: dalam setahun terakhir, keuntungan simulasi yang diperoleh dari serangan menggunakan AI telah berlipat ganda sekitar setiap 1,3 bulan. Sementara itu, biaya untuk memanggil model AI tingkat lanjut (seperti GPT-4o, Claude 3.5 Sonnet) terus menurun dengan cepat.

Efek “selisih gunting” ini menciptakan model insentif penyerang yang sangat menggiurkan. Ketika pertumbuhan pendapatan yang diharapkan dari serangan jauh melebihi biaya, penerapan banyak agen AI untuk melakukan pemindaian kerentanan dengan cara “jaring lebar” menjadi bisnis yang menguntungkan. Laporan memperingatkan: “Dengan biaya yang terus menurun, penyerang akan menerapkan lebih banyak agen AI untuk mendeteksi kode di setiap jalur menuju aset berharga, tidak peduli seberapa kurang dikenal: sebuah pustaka otentikasi yang terlupakan, layanan log yang tidak mencolok, atau titik akhir API yang sudah ditinggalkan.” Di masa depan, kita mungkin tidak hanya menghadapi serangan terfokus yang tepat terhadap protokol DeFi teratas, tetapi juga penggerebekan otomatis yang tidak pandang bulu terhadap semua kontrak pintar yang terhubung.

Data inti laporan penelitian Anthropic

Kumpulan Uji 1 (Kontrak yang Baru-baru Ini Diserang): 34, AI berhasil menyerang 17, mencuri dana simulasi sebesar 4,5 juta dolar AS

Kumpulan Uji 2 (Basis Kontrak Sejarah 2020-2025): 405 dokumen, AI berhasil menyerang 207 dokumen, mencuri dana simulasi sebesar 5,5 juta dolar.

Pengujian Penambangan Kerentanan Nol Hari: Memindai 2849 kontrak baru, menemukan 2 kerentanan baru, nilai potensial 3694 dolar.

Siklus Pertumbuhan Keuntungan Serangan: Simulasi keuntungan serangan berlipat ganda setiap 1,3 bulan

Model AI yang terlibat: Claude Opus 4.5, Claude Sonnet 4.5, GPT-5

Blockchain yang terlibat: Ethereum, BNB Smart Chain, Base

Dengan Tombak AI, Membangun Perisai AI: Pembukaan Era Pertahanan Baru

Menghadapi ancaman yang begitu jelas, reaksi industri harus cepat dan kuat. Anthropic dalam laporan tersebut tidak hanya menciptakan kepanikan, tetapi secara jelas menunjukkan jalan keluar: harus menggunakan AI untuk mempertahankan AI. Ini menandakan bahwa audit smart contract dan jaminan keamanan akan segera memasuki era “AI yang ditingkatkan” yang baru. Model tradisional yang mengandalkan tenaga manusia terbatas untuk tinjauan kode dan pengujian fuzz akan tampak penuh celah di hadapan serangan otomatis.

Sebagai langkah konkret untuk mendorong kemajuan pertahanan, Anthropic mengumumkan akan mengopen source dataset referensi yang digunakan untuk penelitian ini dengan smart contract. Tindakan ini bertujuan untuk memberikan pengembang dan peneliti keamanan global sebuah sandbox pengujian yang berkualitas tinggi dan beragam, untuk melatih dan mengevaluasi model AI defensif mereka sendiri. Di masa depan, kita berharap dapat melihat alat audit berbasis AI yang lebih kuat muncul, yang dapat melakukan pemindaian mendalam sebelum kontrak dideploy, untuk mendeteksi kerentanan dengan pola pikir penyerang; juga dapat melakukan pemantauan waktu nyata selama kontrak berjalan, dengan pola transaksi yang tidak biasa segera dikenali dan diblokir.

Lomba perlombaan senjata yang didorong oleh AI ini telah dimulai. Bagi proyek, peningkatan anggaran keamanan dan adopsi layanan audit AI yang lebih canggih akan menjadi kebutuhan untuk bertahan hidup. Bagi pengembang, belajar dan beradaptasi dengan pemrograman yang berkolaborasi dengan alat AI akan menjadi norma baru. Bagi seluruh industri Web3, peringatan ini adalah uji tekanan yang berharga, yang memaksa kita untuk menempatkan keamanan kembali di pusat desain arsitektur sambil mengejar inovasi dan efisiensi. Hanya dengan secara proaktif merangkul perubahan ini, kita dapat mengubah ancaman menjadi kesempatan untuk meningkatkan tingkat keamanan industri secara keseluruhan.

Penutup

Laporan dari Anthropic seperti cermin, yang mencerminkan sisi gelap dari teknologi AI dengan sudut tajamnya, serta menunjukkan arah untuk memperkuat perisai dengan memanfaatkan sisi terang. Narasi keamanan smart contract sedang beralih dari “perlawanan manusia antara hacker putih dan hacker hitam” menjadi “perlombaan algoritma antara AI defensif dan AI agresif”. Perlombaan ini tidak memiliki penonton, karena berkaitan dengan setiap protokol yang dibangun di atas blockchain, setiap aset yang terkunci dalam DeFi, serta fondasi kepercayaan dari seluruh ekosistem desentralisasi. Sekarang, saatnya untuk memperbarui pemahaman kita tentang risiko dan bertindak segera—karena agen AI tidak pernah beristirahat, dan pertahanan kita juga harus selalu online.