توسط : هوش مصنوعی و تهدید سوءاستفاده خودکار در قراردادهای هوشمند دیفای
تحقیقات جدید نشان می دهد که مدل های frontier هوش مصنوعی اکنون توانایی شناسایی و اجرای اکسپلویت ها در قراردادهای هوشمند را دارند و خطر سوءاستفاده خودکار را برای پروتکل های دیفای واقعی به همراه می آورند. این مطالعه که توسط برنامه ML Alignment & Theory Scholars (MATS) و برنامه Anthropic Fellows انجام شده است، نشان می دهد ابزارهای خودکار می توانند نه تنها باگ ها را پیدا کنند بلکه اسکریپت های کامل حمله تولید و نقدینگی شبیه سازی شده را استخراج کنند.
سوءاستفاده خودکار چه توانایی هایی دارد؟
در نمونه های آزمایشی، مدل هایی مانند GPT-5 و Sonnet 4.5 توانستند روی مجموعه داده SCONE-bench شامل 405 قرارداد مورد بهره برداری قرار گرفته کار کنند و مجموعا معادل 4.6 میلیون دلار سود شبیه سازی شده به دست آورند. این نتیجه نشان می دهد که خطر سوءاستفاده خودکار از نظر فنی قابل تحقق است و با کاهش هزینه های اجرای مدل ها، جنبه اقتصادی آن نیز جذاب تر می شود.
آنالیز اجرا و یافته های کلیدی
پژوهشگران دریافتند مدل ها فقط با پیدا کردن خطای منطقی اکتفا نکردند؛ بلکه توانستند توالی تراکنش ها را تنظیم، اسکریپت های اجرایی تولید و نقدینگی شبیه سازی شده را به شیوه ای مشابه حملات واقعی روی اتریوم و زنجیره BNB تخلیه کنند. در یک آزمایش دیگر، دو مدل مطرح توانستند از میان 2,849 قرارداد تازه منتشر شده در BNB Chain، دو آسیب پذیری روز صفر را کشف کنند که در مجموع سود شبیه سازی شده 3,694 دلار داشتند. یکی از این موارد به دلیل نبود modifier مناسب در یک تابع عمومی بود و دیگری امکان تغییر گیرنده برداشت کارمزدها را فراهم می کرد؛ در هر دو مورد مدل ها اسکریپت اجرایی تولید کردند که نقص را به سود تبدیل کرد.
اقتصاد حمله و سرعت اجرایی شدن
هزینه اجرای بررسی روی کل مجموعه قراردادها تنها 3,476 دلار گزارش شده و میانگین هزینه به ازای هر ران حدود 1.22 دلار بوده است. با ارزان تر شدن مدل ها و بهبود مهارت های ابزارمحور، نسبت هزینه به سود به نفع خودکارسازی حملات تغییر می کند. این پویش اقتصادی می تواند فاصله زمانی بین انتشار قرارداد و بهره برداری را به شدت کوتاه کند، به خصوص در محیط های دیفای که سرمایه به صورت عمومی قابل مشاهده است و باگ های قابل کسب درآمد سریعا نقد می شوند.
پیامدها برای توسعه دهندگان و اپراتورها
یافته ها فراتر از دیفای است. همان گام های استدلالی که به یک عامل اجازه می دهد تا تراز توکن را دستکاری کند یا برداشت کارمزد را هدایت کند، می تواند در نرم افزارهای سنتی، کدهای بسته و زیرساخت های پشتیبان بازارهای رمزارز نیز به کار رود. به همین دلیل لازم است تیم های توسعه از ابزارهای خودکار اسکن و تست پویا استفاده کنند و نگاه خود را به سمت کاهش پنجره زمانی آسیب پذیری ها معطوف کنند.
راهکارهای پیشنهادی شامل پیاده سازی بررسی های امنیتی پیوسته، استقرار برنامه های باگ بانتی فعال، و به کارگیری تست های خودکار پیش از عرضه است. همچنین ادغام تحلیل های ایستا و پویا در زنجیره توسعه و خودکارسازی مانیتورینگ تراکنش ها می تواند جلوی بسیاری از سوءاستفاده خودکار را بگیرد. برای دریافت دید عمیق تری از ابعاد بلاکچینی موضوع می توانید منابع مرتبط با بلاکچین را دنبال کنید و برای مطالعه اولیه گزارش اصلی به منبع پژوهش Anthropic مراجعه کنید.
چالش های فنی و اخلاقی
پژوهشگران تأکید می کنند هدف این کار هشدار دادن است نه تشویق به سوءاستفاده. توانایی های فعلی مدل ها نشان می دهد که وظایفی که پیش تر نیازمند مهاجمان بسیار ماهر بودند، اکنون با سطحی از خودکارسازی قابل انجام است. این موضوع پرسش های مهمی درباره مسؤولیت توسعه کنندگان مدل، دسترسی به ابزارها و سیاست گذاری های امنیتی مطرح می کند.
جمع بندی و توصیه ها
نتایج این مطالعه یک زنگ بیدارباش برای اکوسیستم کریپتو است: خطر سوءاستفاده خودکار واقعی و رو به رشد است. توسعه دهندگان پروتکل ها باید از امروز سرعت دفاع را افزایش دهند، از جمله با استقرار تست های خودکار، تقویت برنامه های باگ بانتی و نظارت پویای تراکنش ها. در حالی که تمرکز این تحقیق بر دیفای بود، پیامدهای آن برای هر سیستمی که به کد و خدماتی منجر به دسترسی به دارایی های باارزش می شود، صادق است.
در نهایت، پرسش کلیدی این است که آیا دفاع می تواند به اندازه کافی سریع تکامل یابد تا پنجره فرصت برای بهره برداری خودکار را ببندد. پاسخ به این پرسش نیازمند همکاری صنعتی، سرمایه گذاری در امنیت و اجرای سیاست های مسئولانه در مقابل توسعه ابزارهای قدرتمند هوش مصنوعی خواهد بود.
