Успешно смоделирована кража $4,6 млн — ИИ уже научился самостоятельно атаковать смарт-контракты.

Original: Odaily 星球日报 Azuma

Крупнейший AI-разработчик и создатель модели Claude LLM, компания Anthropic, сегодня объявила о тесте использования ИИ для автономных атак на смарт-контракты (примечание: Anthropic ранее получила инвестиции от FTX, теоретически стоимость доли уже достаточна для покрытия дыры в активах FTX, однако команда по банкротству распродала её по низкой цене).

Окончательные результаты теста: прибыльные и воспроизводимые в реальности автономные атаки ИИ на техническом уровне уже осуществимы. Важно отметить, что эксперимент Anthropic проводился только в смоделированной среде блокчейна и не тестировался в реальной сети, поэтому не повлиял ни на какие реальные активы.

Далее коротко расскажем о тестовой схеме Anthropic.

Anthropic сначала создала бенчмарк для эксплуатации смарт-контрактов (SCONE-bench) — первый в истории бенчмарк, который измеряет способность AI-агента использовать уязвимости на основе моделируемой общей стоимости похищенных средств, то есть данный бенчмарк не зависит от багбаунти или предположений о модели, а напрямую количественно оценивает убытки и способности на основе изменений ончейн-активов.

SCONE-bench охватывает 405 контрактов, реально подвергавшихся атакам в 2020–2025 годах и расположенных на трёх EVM-совместимых сетях: Ethereum, BSC и Base. Для каждого целевого контракта AI-агент, работающий в песочнице, должен с помощью инструментов, предоставленных протоколом Model Context Protocol (MCP), попытаться атаковать указанный контракт в течение ограниченного времени (60 минут). Для гарантии воспроизводимости результатов Anthropic построила оценочную инфраструктуру с использованием контейнеров Docker для изоляции и масштабируемого исполнения — каждый контейнер запускает локальную цепь, форкнутую на определённой высоте блока.

Ниже представлены результаты тестов Anthropic для различных сценариев.

• Во-первых, Anthropic оценила работу 10 моделей — Llama 3, GPT-4o, DeepSeek V3, Sonnet 3.7, o3, Opus 4, Opus 4.1, GPT-5, Sonnet 4.5 и Opus 4.5 — на всех 405 контрактах бенчмарка. В целом, эти модели сгенерировали эксплойты для 207 контрактов (51,11%), что позволило смоделировать кражу средств на сумму 550,1 млн долларов.
• Во-вторых, чтобы контролировать возможное загрязнение данных, Anthropic протестировала те же 10 моделей на 34 контрактах, атакованных после 1 марта 2025 года — эта дата выбрана потому, что на 1 марта приходится актуальный cut-off знаний моделей. В целом, Opus 4.5, Sonnet 4.5 и GPT-5 успешно использовали уязвимости в 19 из них (55,8%), максимальная “украденная” сумма — 4,6 млн долларов; лучший результат показал Opus 4.5, который успешно атаковал 17 контрактов (50%) и смоделировал кражу 4,5 млн долларов.
• В-третьих, чтобы оценить способность AI-агентов находить совершенно новые zero-day уязвимости, 3 октября 2025 года Anthropic дала Sonnet 4.5 и GPT-5 проанализировать 2849 недавно развернутых, не имеющих известных уязвимостей контрактов. Оба AI-агента обнаружили по две новые zero-day уязвимости и сгенерировали атакующие сценарии на сумму 3694 доллара, при этом стоимость API для GPT-5 составила 3476 долларов. Это доказывает: прибыльные и воспроизводимые в реальности автономные атаки ИИ на техническом уровне уже осуществимы.

После публикации результатов теста Anthropic, многие известные представители отрасли, включая управляющего партнёра Dragonfly Хасиба, выразили удивление темпами перехода ИИ от теории к практике.

Но насколько быстры эти темпы? Anthropic также дала свой ответ.

В заключении теста Anthropic отметила, что всего за год доля уязвимостей, которые ИИ смог использовать в этом бенчмарке, выросла с 2% до 55,88%, а сумма похищаемых средств — с 5000 до 4,6 млн долларов. Anthropic также обнаружила, что потенциальная стоимость эксплуатируемых уязвимостей удваивается примерно каждые 1,3 месяца, а стоимость токенов (token) снижается примерно на 23% каждые 2 месяца — в эксперименте средняя стоимость полного сканирования одного смарт-контракта AI-агентом составила всего 1,22 доллара.

Anthropic утверждает, что в реальных атаках на блокчейне в 2025 году более половины — предположительно совершённых опытными человеческими хакерами — могли быть полностью автономно реализованы существующими AI-агентами. С дальнейшим снижением издержек и экспоненциальным ростом возможностей, окно между развертыванием уязвимого контракта и его эксплуатацией будет только сокращаться, а у разработчиков останется всё меньше времени на обнаружение и исправление багов…ИИ можно использовать как для эксплуатации, так и для исправления уязвимостей, и специалистам по безопасности пора пересмотреть свои подходы — момент для использования ИИ в целях защиты уже наступил.