AI黑客崛起：智能合約安全大考驗！

zero comment

人工智能愈來愈擅長入侵加密貨幣的智能合約

最近Anthropic進行嘅測試展示咗人工智能（AI）喺針對區塊鏈上智能合約漏洞方面嘅進步。雖然大部分成果都係建立喺人類早已發現同利用過嘅漏洞上，但先進模型如Claude Opus 4.5同GPT-5喺模擬環境中成功篩查咗數百個去中心化金融（DeFi）智能合約，執行咗模仿以太坊及其他以太坊虛擬機（EVM）兼容區塊鏈過往真實攻擊嘅漏洞利用。

測試中，呢啲大型語言模型（LLM）喺模擬執行環境表現出真實嘅提升，成功生成完整腳本，喺包含2020至2025年間已被利用嘅智能合約數據集中“偷取”咗約5.5億美元嘅模擬資金。更值得注意係，Opus 4.5甚至喺一個較細數據集（34個已知漏洞合約）中成功利用咗一半漏洞，呢啲漏洞係模型知識截止日期2025年3月之後先被發現，單憑呢啲漏洞就“獲得”咗約450萬美元嘅模擬資金。

Anthropic嘅研究最令人關注嘅係AI喺發現區塊鏈應用漏洞嘅能力逐漸提升，無論係人類協助定係獨立操作。過去一年，呢啲漏洞利用嘅模擬收益大約每1.3個月翻一番，而API代幣運行成本喺半年內下降咗70%，令攻擊者可以用更低成本進行更深入嘅任務。

Anthropic報告指出：“喺我哋嘅實驗中，一個代理平均只需花1.22美元就能徹底掃描一個合約有冇漏洞。隨住成本下降同能力增加，合約從部署到被利用嘅時間窗口會日益縮短，令開發者有更少時間去發現同修補漏洞。”

新一代LLM現時能破解過半數測試合約，較兩年前成功率幾乎為零大大提升。不過，喺發掘全新漏洞方面，結果就冇咁理想。喺2025年中掃描2,849個未被利用嘅合約時，AI只識別出兩個問題：一個係未受保護嘅只讀功能，令攻擊者可以膨脹代幣餘額；另一個係冇適當檢查嘅費用索取功能，令付款被轉向陌生人。合計呢兩個漏洞只“賺取”咗3,694美元嘅模擬收益，扣除API費用後純利平均得109美元。

有批評者認為呢啲被標榜為“新”漏洞嘅發現被過度炒作，因為呢啲漏洞大多係基本錯誤，例如意外提供咗寫入權限但本應只係只讀。正如一位安全研究員喺社交媒體X所言，Anthropic嘅研究係“AI營銷大戲”，將瑣碎漏洞包裝成更大嘅議題。

有人將呢份報告同去年秋季GPT-5聲稱破解10道保羅·埃爾德什（Paul Erdős）未解數學難題嘅事件比較，後者實際係挖掘咗早前被忽略嘅論文中已存在嘅答案。

上個月嘅1.2億美元Balancer黑客事件亦帶有AI利用智能合約漏洞嘅跡象。攻擊者利用批量交換中嘅四捨五入漏洞，通過多次計算微量差額賺取利潤，類似電影《辦公室風雲》（Office Space）中嘅“削分”詐騙。前美國網絡安全負責人Chris Krebs指出該漏洞代碼嘅複雜度可能係AI痕跡，但目前尚未確認AI是否參與。

同時值得指出，嗰啲用來探查智能合約漏洞嘅AI同樣可以用作防守，協助提升安全。安全研究員已經開始利用AI協助代碼審查，例如最近就有研究員用Claude幫助發現以太坊二層網絡Aztec嘅rollup合約漏洞。

Spearbit嘅首席安全研究員Manuel喺X上表示：“我哋正進入一個大型語言模型成為真正合作夥伴嘅階段。”

隨著漏洞利用變得愈來愈容易，審計工作同樣變得更有效，理論上可以喺漏洞被利用之前限制攻擊面。畢竟，開發者有優勢，可以喺智能合約部署到實際網絡前掃描錯誤。換句話講，黑客同代碼發佈者之間嘅貓捉老鼠遊戲仍會繼續。

不過，現階段LLM只係開發者同安全研究員嘅輔助工具，而唔係完全取代人類嘅存在。

—

評論與啟發

Anthropic嘅研究揭示咗AI在智能合約安全領域嘅雙刃劍效應，一方面AI強化咗攻擊者發現漏洞嘅能力，縮短咗漏洞被利用嘅時間窗口；另一方面，AI同樣為防守方提供咗強大嘅工具，幫助加速漏洞檢測同代碼審查。

呢種情況凸顯咗科技發展帶嚟嘅安全挑戰：技術本身冇善惡，關鍵係點用。當AI成為雙方兵器，安全圈必須加快適應步伐，建立更完善嘅防禦機制同監管框架。尤其係智能合約呢種自動執行、不可更改嘅代碼，一旦漏洞被利用，損失往往巨大且難以挽回。

同時，對於AI挖掘漏洞嘅“新穎性”亦需保持理性判斷。Anthropic發現嘅新漏洞多係基礎錯誤，反映出智能合約開發仍有大量基本安全常識未被重視，這才係業界亟待提升嘅根本問題。

最後，隨住AI模型成本持續下降同能力提升，未來智能合約安全將進入一個高速變化時代。香港嘅區塊鏈開發者同投資者應該加強對智能合約安全嘅認識，積極運用AI輔助工具，同時謹慎監控黑客技術動向，從而保障資產安全。這亦提醒監管機構要密切關注AI喺區塊鏈安全領域嘅應用，制定合理指引，避免技術濫用帶嚟嘅風險。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。