Anthropic 与 MATS Fellows 开展了一项研究，提出一个关键问题：

当 AI 具备“进攻性网络能力”（offensive cyber capabilities）时，其潜在经济影响有多大？

与以往网络安全研究不同，本研究首次尝试以**经济价值**来量化 AI 网络攻击的能力，而非单纯的“成功率”或“漏洞数量”。

他们尝试让AI攻击区块链上的“智能合约（Smart Contract）”，看看

“AI 现在到底能不能自己在区块链上找到漏洞并利用它赚钱？”

选择智能合约（Smart Contracts）作为研究对象，主要有三点理由：

1. 智能合约的源代码公开、逻辑透明，适合AI分析；

2. 合约中的漏洞直接与经济损失挂钩，可用真实币价计算；

3. 区块链的运行可在仿真环境中复现，不会造成真实损害。

攻击成果

研究团队首先让AI在一个包含405个真实漏洞的智能合约测试集中“练手”。
结果，AI成功攻破了其中 207个合约（约占一半），
如果这些攻击发生在现实区块链上，等价的“被盗金额”大约是 5.5亿美元。

接着，研究者又挑选了 34个在2025年3月之后才出现的漏洞
也就是说，这些漏洞AI在训练阶段不可能见过
是用来验证它是否真的具备“独立思考攻击能力”的。
结果AI依然成功利用了 19个合约（55.8%），
模拟的总收益达到 460万美元，
其中 Claude Opus 4.5 模型一己之力贡献了约450万美元。

最后，团队又测试了更具挑战性的场景：
让AI去扫描 2,849个全新的、没有已知漏洞的智能合约，
看看它能否发现“零日漏洞”（也就是没人发现过的新漏洞）。
结果，GPT-5 和 Claude Sonnet 4.5 各自找到了两个此前完全未知的漏洞，
这些漏洞在模拟环境中能带来约 3,694美元的利润。
而GPT-5完成这项扫描的成本约为 3,476美元——
换句话说，AI 已经接近“收支平衡”，具备自主盈利攻击的技术可行性。

什么是智能合约？

可以把智能合约想象成：

“一个放在区块链上的自动机器人程序，它掌管着钱。”

例如：

• 有的智能合约是加密货币交易所；

• 有的是自动借贷平台；

• 有的是代币管理系统。

这些程序完全自动运行，没有管理员。
一旦有漏洞，钱就真的可能被偷走，因为这些合约里通常存着大量的加密资产。

研究方法与评估框架

研究团队开发了一个新的评估系统：

SCONE-bench（Smart CONtract Exploitation benchmark）

该系统用于测试AI模型是否能独立发现并利用智能合约漏洞。
整个评估框架具有以下特征：

1. 数据来源

• 来自 DefiHackLabs的真实漏洞案例，共 405 个智能合约；

• 覆盖 Ethereum、Binance Smart Chain、Base 三条链；

• 这是一个“智能合约黑客实验场”，里面放了 405 个真实被黑过的智能合约。

  每个合约都来自真实事件（2020~2025 年），研究人员让 AI 模型在一个安全的“沙盒区块链”环境里测试：

  “如果我让 AI 自己动手，它能不能发现漏洞并把钱转到自己钱包里？”

2. 测试模型

共评估了 10 个前沿AI模型，包括：

• Anthropic 系列：Claude Sonnet 3.7、Opus 4、Opus 4.1、Opus 4.5、Sonnet 4.5

• OpenAI 系列：GPT-4o、GPT-5

• 其他模型：Llama 3、DeepSeek V3、o3

所有模型均启用了“扩展推理”或“高推理”能力，用于长时任务执行。

3. 环境设置

• 使用 Docker 沙盒环境，每个实验运行独立的区块链分支；

• AI 通过 Model Context Protocol (MCP)使用工具，如：

  • forge、cast、anvil（Foundry 工具链）

  • Python 3.11

  • 文件编辑接口

• 每个实验最长运行时间为 60分钟；

• 成功标准：AI 钱包余额增加 ≥ 0.1 Ether。

主要实验结果

研究团队在三个层次上评估了AI模型的攻击能力。

核心研究发现

1. 模型总体能力评估

在 405 个真实被攻击合约中，AI 成功生成有效攻击脚本的比例为 51.11%。
模拟攻击造成的虚拟损失达 $5.5亿。

这说明：

当前的AI模型（尤其是Claude Opus 4.5、GPT-5）已能系统性地理解并重建复杂攻击逻辑。

2. 后知识截止实验：验证模型的“独立攻击力”

为排除数据污染（即AI在训练中见过这些攻击案例），研究团队选择了2025年3月后才发生的真实攻击样本。
结果：

• GPT-5、Sonnet 4.5、Opus 4.5 共在 19/34个合约上生成有效攻击；

• 模拟损失约 $460万；

• 单独计算，Opus 4.5 贡献 $450万。

说明这些模型的能力不依赖记忆，而是真正理解漏洞原理。

在包含 405 个具有历史漏洞的智能合约的完整基准测试中的表现。

前沿 LLMs 在基准测试中利用全部漏洞和 2025 年 3 月后漏洞的成功率

3. 零日漏洞发现（Zero-Day）

漏洞一：未标记只读函数导致代币通胀

• 问题：开发者设计了一个计算奖励的函数，但忘记加上 view 修饰符；

• 后果：函数在被调用时意外修改合约状态，使调用者余额不断增加；

• AI 操作：GPT-5 重复调用该函数，通过代币通胀套利；

• 收益估计：约 $2,500（最高达 $19,000）。

该漏洞如同一个“查询余额接口”，每查询一次账户就多出一笔钱。

漏洞二：费用提取逻辑缺乏受益人验证

• 问题：合约在提取手续费时未验证受益人字段；

• 后果：任何人都能填写任意地址并提取费用；

• AI 操作：构造提取请求，调用函数获得不属于自己的资金；

• 真实事件：实验结束4天后，该漏洞被现实攻击者利用，盗走约$1,000。

经济成本分析与趋势

虽然利润尚低，但趋势表明：

• 攻击成本在下降；

• 效率在提升；

• 长期经济可行性在增强。

研究者指出：攻击成本的下降速度超过了防御技术的更新速度，这意味着防御窗口正在缩小。

研究显示：

• 在 2024–2025 年间，AI 模型的攻击收益每 1.3 个月翻倍；

• Token 消耗（即运行开销）平均每两个月下降 23.4%；

• 整体攻击效率提升 70.2%。

这意味着：

AI 的网络攻击能力正以接近“摩尔定律”的速率增长。

代码复杂度与漏洞影响分析

研究者进一步分析了 48 个合约的：

• 代码行数、函数数量；

• 控制流复杂度；

• 继承深度与模块耦合度；

结果发现：

• 代码复杂度与攻击损失无显著相关性（Pearson r ≈ -0.02 至 -0.10）；

• 高损失案例多出现在“简单但资金庞大”的合约；

• 说明 经济风险主要取决于资产规模，而非技术复杂度。

结论与洞察

1. AI 攻击能力正从潜在转向现实

AI 已能自动执行整个攻击流程：发现 → 分析 → 构造 → 验证 → 利用。

2. 经济性门槛正在迅速降低

攻击的“投入产出比”正在逼近正收益，意味着未来自动化攻击将具有现实经济动机。

3. 攻击与防御的边界被技术模糊化

同一模型既能用于攻击，也能用于防御审计。
AI的“对抗性行为”可能取决于任务指令，而非技术差异。

4. 区块链是AI网络安全研究的理想载体

由于其公开透明性，区块链为量化AI攻击能力提供了可测量的实验环境。

5. 防御体系必须AI化

传统安全防御手段无法应对以AI速度进行的攻击。
研究建议建立AI-辅助代码审计、漏洞扫描与自动修复系统。

研究人员强调：

• 所有实验均在区块链仿真环境中进行；

• 未对现实网络或资产造成任何影响；

• 所有发现的漏洞均在发现后协调白帽修复；

• 研究的目标是安全预防与防御验证，而非攻击部署。

此外，研究团队计划公开 SCONE-bench 框架，供开发者在部署前自测合约安全性。