Wraz z ewolucją smart kontraktów od małych eksperymentów do głównych systemów finansowych zarządzających aktywami o wartości ponad 400 miliardów dolarów, bezpieczeństwo staje się coraz bardziej krytyczne.
W przeciwieństwie do tradycyjnego oprogramowania, większości programów blockchain nie można zmienić po wdrożeniu, co oznacza, że nawet drobne błędy w kodzie mogą powodować trwałe straty finansowe.
Aby ocenić, jak sztuczna inteligencja radzi sobie w tym środowisku wysokiego ryzyka, badacze z OpenAI, Paradigm i OtterSec opracowali EVMbench.
Zamiast prostych wyzwań testowych, wykorzystuje 120 rzeczywistych podatności z 40 projektów blockchain, co sprawia, że ocena jest bliższa rzeczywistym warunkom.
Komentując to, wpis na blogu OpenAI zauważył,
„Oceniamy szereg najnowszych agentów i odkrywamy, że są oni zdolni do wykrywania i wykorzystywania podatności end-to-end w działających instancjach blockchaina.”
Dodano również,
„Udostępniamy kod, zadania i narzędzia, by wspierać dalszy pomiar tych możliwości oraz przyszłe prace nad bezpieczeństwem.”
Czy AI faktycznie przekształca bezpieczeństwo smart kontraktów?
Chociaż AI znacznie usprawnia audyty i poprawianie błędów, może też wykorzystywać słabości systemu. Aby temu zaradzić, EVMbench pomaga badaczom śledzić te zagrożenia.
Projekt wyznacza również kierunki odpowiedzialnego rozwoju AI dla systemów finansowych o wysokiej wartości.
Co więcej, EVMbench testuje agentów AI w trzech etapach.
Źródło: OpenAI
Każdy etap reprezentuje inny poziom trudności technicznej, odzwierciedlając rosnącą odpowiedzialność za bezpieczeństwo.
Społeczność docenia tę inicjatywę
Doceniając ten krok, użytkownik X napisał,
„To przełomowy moment dla bezpieczeństwa smart kontraktów. Skok z 31,9% do 72,2% skutecznych exploitów w zaledwie 6 miesięcy pokazuje, że agenty AI nie tylko lepiej czytają kod — one opanowują cały łańcuch ataku.”
W podobnym tonie, inny użytkownik dodał,
„Sześciokrotny wzrost skuteczności exploitów to ogromny postęp, ale trochę niepokojące jest, jak szybko rosną ofensywne umiejętności.”
Niedawny incydent, który wstrząsnął branżą
Jednak pomimo tego optymizmu, zaraz po uruchomieniu EVMbench przez OpenAI wydarzyło się coś niezwykłego. Exploit z udziałem Claude Opus 4.6 wzbudził poważne obawy o ryzyko „vibe-coded” smart kontraktów.
W tym przypadku AI pomogła napisać podatny kod Solidity, który błędnie ustalił cenę aktywa cbETH na 1,12 dolara zamiast rzeczywistej wartości około 2 200 dolarów, co wywołało likwidacje i spowodowało straty rzędu prawie 1,78 miliona dolarów.
Źródło: X
To pokazuje, że powierzanie AI kluczowej logiki finansowej bez dokładnej weryfikacji przez człowieka może zamienić drobne błędy w ogromne straty.
Pozostają ograniczenia
EVMbench ma wyraźne ograniczenia. Zawiera jedynie 120 wyselekcjonowanych podatności i nie może oceniać nowo odkrytych problemów.
Tryb wykrywania generuje również fałszywe alarmy. Niewielka liczba zadań Patch i Exploit odzwierciedla ogromny nakład pracy przy ich tworzeniu.
Dodatkowo, środowisko sandboxowe nie oddaje w pełni rzeczywistych warunków, takich jak aktywność cross-chain, złożoność czasowa oraz długoterminowa historia sieci.
Nie trzeba dodawać, że wraz z przyspieszeniem adopcji blockchainu, jego nadużycia ewoluują równie szybko.
Niedawno badania Group-IB wykazały również, że ransomware DeadLock wykorzystuje smart kontrakty Polygon do ukrywania infrastruktury serwerowej i unikania wykrycia.
Wszystko to pokazuje niepokojącą zmianę, w której smart kontrakty, pierwotnie zaprojektowane by zwiększać przejrzystość i zaufanie, są coraz częściej wykorzystywane jako narzędzia cyberprzestępczości.
Podsumowanie końcowe
- Narzędzia takie jak EVMbench pomagają badaczom mierzyć możliwości AI w realistycznych warunkach bezpieczeństwa.
- Ograniczone zbiory danych i środowiska kontrolowane wciąż nie oddają złożoności rzeczywistego świata blockchain.
