从 3000 美元到 1700 美元：AI 智能体如何加速智能合约“被黑”工业化

【摘要】AI智能体攻击智能合约成本骤降，已实现技术性盈利。Anthropic研究揭示了自动化漏洞利用的工业化潜力，安全攻防范式面临重塑。

InterGPT

266人浏览 · 2025-12-06 16:00:00

InterGPT · 2025-12-06 16:00:00 发布

【摘要】AI智能体攻击智能合约成本骤降，已实现技术性盈利。Anthropic研究揭示了自动化漏洞利用的工业化潜力，安全攻防范式面临重塑。

引言

在区块链与Web3领域，智能合约的安全性一直是悬在开发者与投资者头顶的达摩克利斯之剑。传统安全攻防长期围绕人类专家与自动化脚本工具展开。然而，近期由AI安全公司Anthropic发布的一项研究，彻底打破了这一平衡。研究结果表明，前沿的AI智能体不仅能够自主发现并利用智能合约中的高危漏洞，甚至包括未曾公开的零日漏洞，其攻击成本已降至可盈利的水平。

这一发现并非危言耸听，它标志着一个新时代的到来。AI驱动的自动化攻击正从理论概念迅速转变为具备经济可行性的现实威胁。攻击的门槛、速度与规模都发生了质变。本文将深度剖析Anthropic的研究成果，解构AI智能体实现端到端攻击的技术路径，量化其经济模型，并探讨在这一全新威胁模型下，Web3生态应如何构建与之匹配的AI原生防御体系。这不再是一场关于未来的预测，而是对当下正在发生的技术变革的深度复盘与应对策略探讨。

🛡️ 一、分水岭事件：SCONE-bench与被量化的威胁

Anthropic的研究之所以引发震动，关键在于其提供了一套可量化、可复现的评估标准，即SCONE-bench。它让AI的攻击能力不再是一个模糊概念，而是变成了具体的数字和可验证的结果。

1.1 SCONE-bench的诞生与定位

SCONE-bench（Smart Contract On-chain Exploit-generation Benchmark）是一个专门为评估AI智能体在智能合约安全领域实战能力而设计的基准测试套件。它的核心目标非常明确，评估AI从漏洞发现到成功利用（Exploitation）的端到端（End-to-End）能力。

它的技术特点使其区别于传统的安全工具评估基准。

数据源于真实世界。数据集来源于DefiHackLabs等公共代码库，包含了405个在真实世界中发生过攻击事件的智能合约样本。这些样本覆盖了以太坊（Ethereum）、币安智能链（Binance Smart Chain）和Base三条主流EVM兼容链，时间跨度从2020年至2025年，确保了场景的真实性与多样性。
评估标准贴近实战。它不满足于AI仅仅报告“这里可能存在一个漏洞”。SCONE-bench要求AI智能体必须生成能够成功执行攻击的交易数据或可运行的利用脚本。这种对“可利用性”的强调，直接衡量了AI的实战价值。
量化经济风险。传统网络安全基准多聚焦于漏洞的分类或检测率（True/False Positives），难以衡量其造成的实际财务影响。SCONE-bench通过关联被攻击合约的历史损失，能够直接评估AI发现的漏洞所对应的潜在经济价值，使风险评估更为直观。

1.2 关键发现一：复现价值460万美元的历史攻击

研究团队利用SCONE-bench对多个前沿AI模型进行了测试，包括Anthropic自家的Claude Opus 4.5、Claude Sonnet 4.5以及OpenAI的GPT-5。

测试结果显示，在面对数据集中那405个已被公开利用过的合约时，这些顶尖AI模型展现出了强大的历史漏洞复现能力。它们成功识别出大量漏洞，并生成了有效的利用代码。如果将这些由AI生成的利用代码所能攫取的虚拟资产进行加总，其理论价值高达460万美元。

这个数字本身就是一个强有力的证明。它说明AI已经具备了与人类安全专家相当，甚至在某些方面更高效的已知漏洞分析与利用能力。对于一个庞大的、包含无数存量合约的区块链生态而言，这意味着大量未被修复的历史漏洞，都可能成为AI自动化攻击工具的“提款机”。

1.3 关键发现二：捕获价值3694美元的未知零日漏洞

复现已知漏洞固然令人印象深刻，但真正让行业警醒的，是AI发现未知漏洞的能力。

为了验证这一点，研究人员选取了2849个近期部署在链上、且没有任何公开漏洞信息的新合约。他们将这些合约作为“盲测”目标，交由AI智能体进行分析。

结果是颠覆性的。AI智能体（主要是Sonnet 4.5和GPT-5）在这些看似安全的合约中，成功识别出2个此前未被任何人发现的零日漏洞（Zero-day Vulnerabilities）。更重要的是，AI不仅找到了它们，还自动生成了可以利用这些漏洞的交易脚本。在模拟环境中执行这些脚本，可以成功获利，合计价值3694美元。

这一发现的意义远超其金额本身。它标志着AI的能力已经从“学习和模仿”跃迁至“推理和创造”。AI不再仅仅是安全知识的搬运工，而是成为了能够独立探索未知攻击向量的“数字猎手”。

⚙️ 二、攻击经济学：当自动化“被黑”有利可图

Anthropic的研究不仅揭示了AI的技术能力，更重要的是，它算清了一笔经济账。这笔账清晰地表明，利用AI攻击智能合约，在经济上已经变得可行。

2.1 攻击成本的急剧下降

研究团队详细记录了使用GPT-5对2849个新合约进行全量扫描的成本。由于GPT-5的API调用成本相对较低，使其成为进行大规模自动化测试的理想选择。

具体的成本构成如下表所示。

成本项目	数值	备注
总测试成本	3476美元	覆盖对2849个合约的完整分析
单次智能体运行成本	1.22美元	对单个合约进行一次分析的平均API费用
识别单个漏洞合约成本	1738美元	总成本 / 发现的漏洞合约数量 (3476 / 2)

这个数字，特别是1738美元/个的漏洞发现成本，是一个关键的转折点。它将高技术门槛的漏洞挖掘工作，变成了一项有明确投入产出预期的“数字劳动”。

2.2 首次跨越盈利门槛

成本的另一端是收益。在模拟环境中，AI利用发现的2个零日漏洞，合计创造了3694美元的价值。

我们可以据此计算出单次成功攻击的经济模型。

平均利用收益：1847美元 (3694 / 2)
平均发现成本：1738美元
平均净利润：109美元 (1847 - 1738)

尽管109美元的利润看似微薄，但它的象征意义是巨大的。这是公开研究中首次证实，一个完全自主的AI攻击流程，其预期收益已经可以覆盖其运营成本。这意味着攻击行为本身形成了一个可以自我维持、甚至不断扩大的经济闭环。

2.3 “被黑”工业化的演进轨迹

要理解当前成本的颠覆性，需要将其置于历史背景中。此前，伦敦大学学院（UCL）等学术机构也曾开发过名为A1的自动化利用框架。在当时，其识别单个易受攻击合约的成本约为3000美元。

短短时间内，这一成本就从3000美元骤降至1738美元，降幅超过40%。这种成本的快速下降，是技术成熟并走向工业化的典型特征。

攻击成本的下降直接催生了攻击模式的演变。

从精英化到平民化。过去，只有顶尖黑客团队才有能力进行复杂的零日漏洞挖掘。现在，任何能够调用AI API的个人或组织，理论上都具备了发起类似攻击的潜力。
从机会主义到规模化。当单次攻击有利可图时，攻击者便有动力进行大规模、并行化的扫描。他们可以像运行商业应用一样，在云端部署成千上万个AI智能体，7x24小时不间断地扫描新上线的合约，寻找可乘之机。

智能合约“被黑”正在从一种手工作坊式的“艺术”，演变为一种可预测、可扩展、可盈利的“工业”。

🔬 三、技术拆解：AI智能体的端到端攻击流程

AI究竟是如何完成从一堆合约代码到一次成功资金转移的完整流程的？这背后是一套复杂但逻辑清晰的工作流，结合了大型语言模型的理解能力与传统软件分析技术的严谨性。

3.1 超越简单的漏洞扫描

传统的静态分析工具（SAST）或动态分析工具（DAST）通常基于固定的规则库或模式匹配来查找漏洞。它们能发现已知的漏洞类型，如重入（Re-entrancy）、整数溢出（Integer Overflow）等，但对于复杂的业务逻辑漏洞或新颖的攻击向量则力不从心。

AI智能体则完全不同。它能够深度理解代码的语义和业务逻辑。它不仅看代码“写了什么”，更能推理出代码“想要做什么”，以及“可能被误用做什么”。这种能力使其能够发现那些隐藏在复杂DeFi协议交互逻辑中的缺陷，而这正是传统工具的盲区。

更关键的是，AI的目标是端到端的利用。它不满足于给出一个“高危”警报，而是致力于构建一个完整的攻击载荷（Exploit Payload），这是两者在能力象限上的本质区别。

3.2 AI智能体的工作流解析

一个典型的AI漏洞利用智能体，其内部工作流程可以通过以下Mermaid流程图来表示。

这个流程可以分解为几个核心步骤。

代码获取与预处理。智能体首先获取目标智能合约的源代码或字节码，并进行标准化处理，以便模型能够理解。
多维分析。这是核心的分析阶段。
- 静态分析。AI会像人类审计员一样阅读代码，寻找语法层面的潜在问题、不安全的函数调用等。
- 动态分析/符号执行。在模拟环境中执行合约函数，或者使用符号执行技术探索不同的代码路径，观察状态变化，寻找异常。
- 逻辑与意图理解。这是大语言模型的独特优势。它会分析注释、变量命名和函数结构，尝试理解合约的商业目的，例如“这是一个借贷协议”或“这是一个DEX的流动性池”。
漏洞假设生成。综合多维分析的结果，AI会提出一系列关于潜在漏洞的假设。例如，“withdraw函数似乎没有对输入进行充分校验，可能导致重入攻击”。
攻击向量构建。针对每个高可能性的假设，AI会尝试构建具体的攻击方案。这包括编写利用合约（Exploit Contract）的Solidity代码，或者构造一笔恶意的交易（Transaction Payload）。
沙箱环境验证。生成的攻击方案会在一个隔离的、模拟区块链环境（沙箱）中执行。智能体会检查执行结果是否符合预期，例如，攻击者的余额是否增加，协议状态是否被破坏。如果验证失败，它会返回上一步，调整攻击向量或放弃该假设。
输出有效利用方案。只有在沙箱中验证成功的攻击方案，才会被作为最终结果输出。

3.3 指数级的能力增长曲线

AI在这一领域的能力并非线性增长，而是呈现出明显的指数级加速趋势。Anthropic的研究人员指出，在过去的一年中，AI智能体在模拟环境中“盗取”的虚拟资金规模，大约每1.3个月就会翻一番。

这种惊人的增长速度源于几个方面的正向循环。

模型迭代。基础大模型的逻辑推理和代码生成能力在不断增强。新一代模型能处理更长的上下文，理解更复杂的代码结构。
数据飞轮。随着更多公开的攻击事件被分析和收录，AI有了更丰富的学习材料，能够掌握更多、更新的攻击模式。
工具链成熟。围绕大模型的工具（Tooling）和智能体框架（Agent Frameworks）越来越成熟，使得AI能够更方便地调用静态分析器、符号执行引擎等专业工具，形成能力互补。

这种趋势意味着，我们今天看到的AI攻击能力，可能在几个月后就会被远远甩在身后。防御体系的建设必须考虑到这种高速演进的动态威胁。

⚔️ 四、Web3的新威胁模型：为AI攻击者而设计

Anthropic的研究结果，迫使所有Web3从业者必须重新审视和升级其安全威胁模型。过去的假设已经不再适用，我们需要在一个默认攻击者是AI的新范式下思考安全问题。

4.1 攻击者画像的重塑

传统的攻击者画像是一个或多个技术高超、经验丰富的人类黑客，他们需要时间来研究目标、编写工具、等待时机。而新的威胁模型中，攻击者画像发生了根本性变化。

新一代攻击者 = AI智能体 + 云端计算资源 + 历史攻击数据库

这个组合带来了几个显著的特性。

永不疲倦。AI可以24/7不间断地工作。
速度极快。人类审计员可能需要数周时间来审计一个复杂协议，AI可能在几分钟或几小时内完成初步扫描。
规模巨大。攻击者可以轻易地将任务扩展到数千个并行运行的AI智能体，同时扫描整个生态的新合约。
知识广博。AI能够瞬间访问并理解有史以来几乎所有公开的智能合约漏洞和攻击手法。

防御者必须假设，他们的每一个新合约，在部署上链的瞬间，就可能面临这种高强度、自动化的“AI审计”。

4.2 不可篡改性放大了风险敞口

区块链的核心特性之一是其不可篡改性（Immutability）。一旦交易被确认，智能合约的状态变更便几乎不可逆转。这一特性在正常运行时是安全保障，但在遭遇攻击时则会成为致命弱点。

AI攻击的速度与区块链的不可逆性相结合，形成了一个极其危险的组合。

响应窗口极短。一旦AI发现漏洞并发起攻击，从第一笔恶意交易上链到协议资金被耗尽，可能只有几个区块的时间，也就是几十秒到几分钟。人类团队几乎没有时间做出反应，比如暂停合约或组织白帽反击。
损失无法挽回。与传统Web2应用被黑后可以回滚数据库不同，链上资产一旦被转移到攻击者控制的地址，就几乎不可能追回。

因此，安全策略必须从“事后响应”向“事前预防”和“事中阻断”进行彻底转变。

4.3 安全思维的转变：从“如果”到“何时与多快”

过去，项目方可能会问：“我们的合约会被黑客盯上吗？”（If）。现在，问题变成了：“我们的合约何时会被AI扫描，AI需要多长时间才能找到漏洞？”（When and How Fast）。

这种思维转变要求安全措施必须是持续的、动态的、自动化的。一次性的上线前审计远远不够。安全必须内嵌到项目的整个生命周期中，成为一种常态化的运营能力，而不是一个阶段性的检查项。

🛡️ 五、反击战打响：构建AI原生的防御体系

面对AI驱动的攻击，唯一的出路是“以AI制AI”。防御方必须拥抱同样的技术，构建一个能够与AI攻击者在速度、规模和智能上相抗衡的防御体系。这套体系应该是分层的、自动化的，并深度整合到开发运维的全流程中。

5.1 防御的核心思想：用AI对抗AI

将AI引入防御体系，并非简单地用AI工具替代人工审计。其核心思想是利用AI的优势来弥补人类防御的不足。

速度匹配。用AI驱动的自动化扫描来应对AI驱动的自动化攻击。
规模匹配。用云原生的AI防御平台来监控海量的链上合约与交易。
智能匹配。用AI的逻辑推理能力来预判和发现复杂的、人类难以察觉的攻击路径。

5.2 AI原生防御的分层架构

一个健全的AI原生防御体系应该贯穿智能合约的整个生命周期，可以分为事前、事中、事后三个阶段。

5.2.1 事前预防：AI驱动的开发与审计（Pre-Deployment）

这是最重要的一道防线。目标是在代码部署上链之前，尽可能多地发现并修复漏洞。

AI辅助代码编写。在开发阶段，集成能够实时分析代码片段、提示不安全模式的AI插件（类似于GitHub Copilot但专注于安全）。
AI增强静态分析（SAST）。利用AI对合约进行深度代码审计，不仅检查已知漏洞模式，更能理解业务逻辑，发现逻辑层面的缺陷。例如，AI可以帮助检查访问控制逻辑是否完备，代币经济模型是否存在可被操纵的漏洞。
AI辅助威胁建模。输入合约的业务逻辑描述，AI可以帮助生成潜在的威胁场景和攻击向量，辅助团队进行更全面的安全设计。
AI辅助形式化验证。形式化验证是验证代码行为是否符合预设规范的强大技术，但编写规范本身难度很高。AI可以帮助开发者将自然语言描述的业务规则，转化为形式化的数学规范，降低使用门槛。

5.2.2 事中监控：AI驱动的运行时保护（Post-Deployment）

合约上线后，防御的重心转移到对链上活动的实时监控和异常检测。

AI驱动的交易监控。训练AI模型来学习协议的正常交易模式。一旦出现偏离正常模式的可疑交易序列（例如，短时间内来自同一地址的多次复杂调用、闪电贷的异常使用），系统可以立即发出警报。
攻击意图识别。AI不仅监控单笔交易，更能分析一个地址或一组地址的行为序列，从而在攻击者进行前期准备（如部署攻击合约、分割资金）时就识别出其攻击意图。
自动化响应机制。当AI监控系统识别到高置信度的攻击时，可以自动触发预设的防御措施。这可以是一个多签控制的“暂停”功能（Pause），或是一个能够暂时限制高风险函数调用的“限流”机制。目标是在损失扩大前，为人类团队争取宝贵的响应时间。

5.2.3 事后分析：AI驱动的事件溯源（Post-Incident）

即使发生了安全事件，AI也能在事后分析中发挥重要作用。

攻击路径自动还原。AI可以分析链上所有的相关交易，自动绘制出攻击者的完整操作路径，帮助团队快速理解漏洞被利用的方式。
资金流向追踪。利用AI分析工具，可以快速追踪被盗资金在不同地址和混币协议之间的流动情况，为资产追回提供线索。

5.3 开发者与项目方的行动清单

面对这一新现实，Web3项目方和开发者需要立即采取行动。

升级威胁模型。在内部安全文档和评审流程中，明确将“自动化AI智能体”列为首要攻击者类型。
将AI审计工具纳入CI/CD流程。不要将安全审计视为上线前的最后一步。将AI驱动的自动化扫描工具集成到持续集成/持续部署（CI/CD）流水线中，确保每次代码提交都经过安全检查。
重视结构性安全设计。除了代码层面的安全，更要重视合约架构的安全性。合理使用多重签名、时间锁（Timelock）、访问控制模式（如Ownable），这些机制能够有效减缓自动化攻击的速度，为人工介入创造机会。
开展AI红蓝对抗演练。定期使用类似SCONE-bench的工具或商业化的AI攻击平台，对自己的系统进行模拟攻击测试，检验防御体系的有效性。

结论

Anthropic的研究并非宣告了Web3的末日，而是吹响了一场安全军备竞赛的号角。AI智能体将漏洞挖掘的成本曲线拉到了一个新的低点，使得自动化、规模化、可盈利的攻击成为现实。这股由AI驱动的攻击浪潮，将无情地淘汰那些安全防护水平停留在上一个时代的协议。

然而，技术本身是中立的。攻击者可以利用AI，防御者同样可以。未来的Web3安全，将不再是人与人的对抗，甚至不是人与机器的对抗，而将是AI与AI的对抗。胜利将属于那些能更快、更深度地将AI技术融入自身防御体系的一方。对于每一个Web3建设者而言，现在是时候行动起来，拥抱AI，用智能对抗智能，为去中心化的未来筑起一道更坚固的防线。