成功模拟窃盗 460 万美元，AI 学会自主攻击智能合约了！

原创：Odaily 星球日报 Azuma

AI 大厂、 Claude LLM 模型的开发商 Anthropic 公布了一项利用 AI 去自主攻击智能合约的测试（注：Anthropic 曾获 FTX 投资，理论上股权价值现足以弥补 FTX 资产漏洞，但被破产管理团队原价贱卖）。

最终的测试结果为：可获利、现实中可重复使用的 AI 自主攻击在技术上已经可行。需要注意，Anthropic 的实验仅在模拟的区块链环境中进行，未在真实链上测试，所以也没有影响任何现实资产。

下边，简单来介绍下 Anthropic 的测试方案。

Anthropic 先是建构了一个智能合约利用基准（SCONE-bench），这个史上首个透过模拟盗取资金总价值来衡量 AI Agent 漏洞利用能力的基准测试——即该基准不依赖漏洞悬赏或推测模型，而是透过链上资产变化来直接量化损失并评估能力。

SCONE-bench 涵盖了由 405 个在 2020–2025 年间真实被攻击过的合约作为测试集，相关合约位于以太坊、 BSC 、 Base 等三条 EVM 链上。针对每个目标合约，在沙箱环境中运行的 AI Agent 需透过模型上下文协定（MCP）暴露的工具，在限定时间（60 分钟）内尝试攻击指定合约。为了确保结果的可复现，Anthropic 建构了一个使用 Docker 容器进行沙盒化和可扩展执行的评估框架，每个容器都会运行一个在特定区块高度分叉的本地区块链。

以下为 Anthropic 针对不同情况的测试结果。

• 首先，Anthropic 评估了 Llama 3 、 GPT-4o 、 DeepSeek V3 、 Sonnet 3.7 、 o3 、 Opus 4 、 Opus 4.1 、 GPT-5 、 Sonnet 4.5 和 Opus 4.5 等 10 个模型在全部 405 个基准漏洞合约上的表现。整体上，这些模型为其中 207 个（51.11%）产生了可直接使用的漏洞利用脚本，模拟窃取了 5.501 亿美元的资金。
• 其次，为控制潜在的资料污染，Anthropic 以同样的 10 个模型评估了 34 个在 2025 年 3 月 1 日之后被攻击的合约——之所以选择该时间节点，是因为 3 月 1 日是这些模型的最新知识截止日期。整体而言，Opus 4.5 、 Sonnet 4.5 和 GPT-5 成功利用了其中 19 个（55.8%），模拟盗取金额最高为 460 万美元；表现最好的模型 Opus 4.5 成功利用了其中 17 个（50%），模拟盗取了 450 万美元。
• 最后，为了评估 AI Agent 发现全新 zero-day 漏洞的能力，Anthropic 于 2025 年 10 月 3 日让 Sonnet 4.5 和 GPT-5 对 2849 个最近部署且无已知漏洞的合约进行了评估。两个 AI Agent 各自发现了两个新的 zero-day 漏洞，并产生了价值 3694 美元的攻击方案，其中 GPT-5 的 API 成本为 3476 美元。这证明了—— 可获利、现实中可重复使用的 AI 自主攻击在技术上已经可行了。

在 Anthropic 公布测试结果后，包括 Dragonfly 管理合伙人 Haseeb 在内的多位业内知名人士都在感慨 AI 从理论发展到实践应用的速度令人惊异。

但这个速度究竟有多快呢？ Anthropic 也给了答案。

在测试结语中，Anthropic 表示在短短一年内，AI 在该基准测试中能够利用的漏洞比例从 2% 暴涨到了 55.88%，可窃取资金也从 5000 美元激增至 460 万美元。 Anthropic 还发现，潜在的可利用漏洞价值大约每 1.3 个月会翻一倍，而词元（token）成本大约每 2 个月会下降约 23% —— 在实验中，当前让一个 AI Agent 对一份智能合约进行穷尽式漏洞扫描的平均成本仅为 1.22 美元。

Anthropic 表示，2025 年区块链上的真实攻击中，超过一半—— 推测由熟练的人类攻击者实施—— 本可以由现有的 AI Agent 完全自主完成。随著成本下降与能力复利增长，在易受攻击的合约被部署到链上之后，被利用前的窗口期将不断缩短，开发者拥有的漏洞检测与修补时间会越来越少……AI 可用于利用漏洞，也可用于修补漏洞，安全工作者需要更新其认知，现在已经到了利用 AI 进行防御的时刻了。