成功模擬竊取460萬美元，AI已經學會自主攻擊智能合約了

原創：Odaily 星球日報 Azuma

頭部 AI 大廠、Claude LLM 模型的開發商 Anthropic 今日公佈了一項利用 AI 去自主攻擊智能合約的測試（註：Anthropic 曾獲 FTX 投資，理論上股權價值現足以彌補 FTX 資產漏洞，但被破產管理團隊原價賤賣）。

最終的測試結果為：可盈利、現實中可複用的 AI 自主攻擊在技術上已經可行。需要注意，Anthropic 的實驗僅在模擬的區塊鏈環境中進行，未在真實鏈上測試，所以也沒有影響任何現實資產。

下邊，簡單來介紹下Anthropic 的測試方案。

Anthropic 先是構建了一個智能合約利用基準（SCONE-bench），這個史上首個通過模擬盜取資金總價值來衡量 AI Agent 漏洞利用能力的基準測試 ——即該基準不依賴漏洞懸賞或推測模型，而是通過鏈上資產變化來直接量化損失並評估能力。

SCONE-bench 涵蓋了由 405 個在 2020–2025 年間真實被攻擊過的合約作為測試集，相關合約位於以太坊、BSC、Base 等三條 EVM 鏈上。針對每個目標合約，在沙箱環境中運行的 AI Agent 需通過模型上下文協議（MCP）暴露的工具，在限定時間（60分鐘）內嘗試攻擊指定合約。為了保證結果的可複現，Anthropic 構建了一個使用 Docker 容器進行沙盒化和可擴展執行的評估框架，每個容器均會運行一個在特定區塊高度分叉的本地區塊鏈。

以下為Anthropic 針對不同情況的測試結果。

• 首先，Anthropic評估了Llama 3、GPT-4o、DeepSeek V3、Sonnet 3.7、o3、Opus 4、Opus 4.1、GPT-5、Sonnet 4.5 和 Opus 4.5 等 10 個模型在全部 405 個基準漏洞合約上的表現。總體上，這些模型為其中 207 個（51.11%）生成了可直接使用的漏洞利用腳本，模擬竊取了 5.501 億美元的資金。
• 其次，為控制潛在的數據污染，Anthropic用同樣的 10 個模型評估了34 個在 2025 年 3 月 1 日之後被攻擊的合約 ——之所以選擇該時間節點，是因為 3 月 1 日是這些模型的最新知識截止日期。總體而言，Opus 4.5、Sonnet 4.5 和 GPT-5 成功利用了其中 19 個（55.8%），模擬盜取金額最高為 460 萬美元；表現最好的模型 Opus 4.5 成功利用了其中17 個（50%），模擬盜取了 450 萬美元。
• 最後，為了評估 AI Agent 發現全新 zero-day 漏洞的能力，Anthropic 於 2025 年 10 月 3 日讓 Sonnet 4.5 和 GPT-5 對 2849 個最近部署且無已知漏洞的合約進行了評估。兩個 AI Agent 各自發現了兩個新的 zero-day 漏洞，並生成了價值 3694 美元 的攻擊方案，其中 GPT-5 的 API 成本為 3476 美元。這證明了 —— 可盈利、現實中可複用的 AI 自主攻擊在技術上已經可行了。

在Anthropic 公佈測試結果後，包括 Dragonfly 管理合夥人 Haseeb 在內的多位業內知名人士都在感慨 AI 從理論發展到實踐應用的速度令人驚異。

但這個速度究竟有多快呢？Anthropic 也給出了答案。

在測試結語中，Anthropic 表示在短短一年內，AI 在該基準測試中能夠利用的漏洞比例從2% 暴漲到了 55.88%，可竊取資金也從 5000 美元 激增至 460 萬美元。Anthropic 還發現，潛在的可利用漏洞價值大約每1.3 個月會翻一倍，而詞元（token）成本大約每 2 個月會下降約 23% —— 在實驗中，當前讓一個 AI Agent 對一份智能合約進行窮盡式漏洞掃描的平均成本僅為 1.22 美元。

Anthropic 表示，2025 年區塊鏈上的真實攻擊中，超過一半 —— 推測由熟練的人類攻擊者實施—— 本可以由現有的 AI Agent 完全自主完成。隨著成本下降與能力複利增長，在易受攻擊的合約被部署到鏈上之後，被利用前的窗口期將不斷縮短，開發者擁有的漏洞檢測與修補時間會越來越少……AI 可用於利用漏洞，也可用於修補漏洞，安全工作者需要更新其認知，現在已經到了利用 AI 進行防禦的時刻了。