AIエージェントがDeFi脆弱性の92%を検出可能に — しかし、悪用コードの作成も可能
特化型 AI エージェントが、9,680 万ドルにのぼる DeFi の損失の背後にある脆弱性を検出しました。これは、汎用的な GPT-5.1 エージェントが 90 件のコントラクトのうち 58 件で見逃したエクスプロイトを特定したことになります。一方、OpenAI と Paradigm による EVMbench ベンチマークは、フロンティアモデルが既知のスマートコントラクトの欠陥の 71% に対して、実際に動作するエクスプロイトを生成できるようになったことを示しています。DeFi プロトコルを保護するのと同じ技術が攻撃にも転用される可能性があり、この軍拡競争はほとんどのチームが認識しているよりも速いスピードで加速しています。
オーディターが見逃し続ける 34 億ドルの問題
Chainalysis によると、2025 年の暗号資産の盗難額は 34 億ドルに達しました。不都合な真実として、エクスプロイトされたコントラクトの多くは、すでに専門家による監査(オーディット)を通過していたのです。Bybit のハッキングだけで 14 億ドルを占め、Cetus(2 億 2,300 万ドル)や Balancer(1 億 2,800 万ドル)のようなプロトコルも、確立されたセキュリティ慣行があったにもかかわらず侵害を許してしまいました。
問題はオーディターが無能であることではありません。人間のレビュアーが、不可能なスケーリングの課題に直面していることにあります。DeFi の TVL(預かり資産総額)は 1,190 億ドルを超え、コードの複雑さは増し、新しいプロトコルがデプロイされるたびに攻撃対象領域(アタックサーフェス)は拡大しています。複雑なプロトコルをレビューする 1 人のオーディターが、数十のコントラクト間の相互作用を分析するのに数週間を費やしたとしても、執拗な攻撃者が見つけ出す 1 つの例外的なケース(エッジケース)を見逃してしまう可能性があります。
これこそが、現在 AI セキュリティエージェントが埋めようとしているギャップであり、初期のベンチマーク結果はスマートコントラクトセキュリティのあり方が根本的に変化していることを示唆しています。
Cecuro の検出率 92%:その数字が実際に意味するもの
2026 年 2 月、AI セキュリティ企業の Cecuro は、2024 年 10 月から 2026 年初頭の間にエクスプロイトされた 90 件の実世界の DeFi コントラクトに対して��、同社の特化型セキュリティエージェントをテストしたオープンソースのベンチマークを公開しました。結果は驚くべきものでした。
Cecuro の特化型エージェントは、エクスプロイトされたコントラクトの 92% で脆弱性を報告し、確認された 9,680 万ドルの損失に関連する欠陥を特定しました。対照的に、GPT-5.1 を搭載した標準的なコーディングエージェントは、脆弱性の 34% しか検出できず、カバーされた損失額はわずか 750 万ドルにとどまりました。
2.7 倍のパフォーマンス差は、単なる数字の遊びではありません。これは、スマートコントラクトセキュリティに適用された際の汎用 AI における 3 つの決定的な失敗モードを明らかにしています。
1. 検証可能なフィードバックの欠如。 汎用モデルは、もっともらしい分析を生成しますが、検出された「脆弱性」が実際にエクスプロイト可能かどうかを検証するメカニズムを持っていません。Cecuro のエージェントは、実際の実行環境に対して発見事項を検証するドメイン固有のテストフレームワークを統合しています。
2. 不十分な体系的カバレッジ。 コントラクトを分析する GPT-5.1 エージェントは、最初の重大な問題を見つけるとしばしば停止してしまいます。Cecuro のエージェントは、アクセス制御分析、状態操作チェック、コントラクト間相互作用のレビューといった構造化されたレビューフェーズを実装し、包括的なカバレッジを確保しています。
3. コンテキストの飽和。 複雑な DeFi プロトコルには、相互に接続された複数のコントラクト、外部オラクルの依存関係、およ�びガバナンスメカニズムが含まれます。汎用モデルはコンテキストの制限に達し、時期尚早な結論を出し始めます。特化型エージェントは、DeFi 固有のヒューリスティックを使用して、どの相互作用が最も重要であるかの優先順位を付けます。
Cecuro は、このデータセットと評価フレームワークを GitHub でオープンソース化する一方で、攻撃的な悪用を防ぐためにセキュリティエージェントの全機能は非公開にしました。これは、ツールを武器化することなく、業界が主張を検証できるようにする責任ある開示アプローチです。
EVMbench:OpenAI と Paradigm が AI セキュリティの最前線を定量化
2026 年初頭に発表された主要な評価は Cecuro のベンチマークだけではありませんでした。2 月、OpenAI と Paradigm は共同で EVMbench をリリースしました。これは、脆弱性の検出、欠陥のあるコードのパッチ適用、既知の弱点のエクスプロイトという 3 つの側面から AI エージェントを評価するベンチマークです。
EVMbench は、主に公開コード監査コンペティションから収集された、40 件の監査に基づく 117 件の厳選された脆弱性を利用しています。その結果は、複雑な現状を浮き彫りにしています。
- エクスプロイト生成: Codex CLI 経由で実行される GPT-5.3-Codex は 71.0% を達成し、既知の脆弱性の 4 分の 3 近くに対して動作するエクスプロイトを生成しました。これは GPT-5 の 33.3% からの劇的な向上であり、エクスプロイト能力がモデルの世代ごとに急速にスケーリングしていることを示唆しています。
- 検出: エージェントは、コードベース全体を徹底的に監査するのではなく、単一の問題を特定した後に停止することが多く、重大な脆弱性が未発見のまま残されるケースが見られました。
- パッチ適用: コントラクトの全機能を維持しながら微妙な脆弱性を取り除くことは困難であることが証明されました。エージェントは古いバグを修正する際に、新しいバグを導入してしまうことがよくあります。
この非対称性は示唆に富んでいます。AI にとって、何かを直すよりも壊す方が簡単なのです。これはサイバーセキュリティにおける根本的なダイナミクスを反映していますが、AI エージェントの登場により、その格差はかつてないスピードで拡大しています。
攻防の軍拡競争はすでに始まっている
Anthropic の研究チームは、フロンティア AI モデルがスマートコントラクトにおける未知のゼロデイ脆弱性を自律的に発見し、エクスプロイトできるようになったという調査結果を発表しました。モデルの 2025 年 3 月の知識カットオフ以降にエクスプロイトされたコントラクトに対してテストしたところ、Claude Opus 4.5 や GPT-5 などのモデルは、シミュレートされた損失で合計 460 万ドルに相当するエクスプロイトを生成しました。
さらに憂慮すべきことに、Claude Sonnet 4.5 と GPT-5 の両方が、3,694 ドル相当の** 2 つの新しいゼロデイ脆弱性**を発見しました。これは、収益性の高い自律型エクスプロイトが技術的に可能であることを証明しています。そのコストは? コントラクトスキャン 1 回につきわずか 1.22 ドルであり、ゼロデイの特定に成功した場合の純利益は 109 ドルに達します。
過去 1 年間で、ベンチマーク問題におけるフロンティアモデルのエクスプロイト収益は、約 1.3 ヶ月ごとに倍増しています。数百ドルの計算予算を持つサイバー犯罪者は、今や AI エージェントを数千のコントラクトに向け、脆弱性をスキャンさせ、コードを 1 行も書かずに動作するエクスプロイトを生成させることができます。
これは緊急の課題を突きつけています。AI 駆動の攻撃者が DeFi エコシステム全体を安価かつ自律的にスキャンできるのであれば、防御側も継続的に稼働する同等に有能な AI ツールを必要とします。デプロイ前に一度だけ監査を行うという従来のモデルは、もはや十分ではありません。
特化型 vs. 汎用型:なぜ専門化が勝利するのか
Cecuro のベンチマークは、AI セキュリティ全体に現れているパターン、すなわちドメイン固有の最適化が汎用モデルに対して 2 〜 3 倍のパフォーマンス向上をもたらすことを浮き彫りにしています。これはスマートコントラクトに限ったことではありません。医療画像診断、法的分析、コードレビューでも同様の動態が見られますが、DeFi におけるリスクの高さは、この差を死活問題へと変えています。
特化型のセキュリティエージェントが汎用モデルを凌駕する理由は、いくつかの要因で説明できます。
トレーニングデータのキュレーション: Cecuro のエージェントは、単なるコード補完タスクではなく、検証済みのエクスプロイトデータセットでトレーニングされています。これにより、リエントランシー攻撃、オラクル操作、フラッシュローン・エクスプロイト、権限昇格につながる特定のパターンを、抽象的な概念としてではなく、既知の攻撃経路を持つ具体的なコードパターンとして理解しています。
構造化されたレビュー手法: 特化型エージェントは、自由形式の分析ではなく、Trail of Bits、OpenZeppelin、Certora といった専門企業が使用する手法に類する体系的な監査方法論を実装しています。各レビューフェーズにおいて、適切な深さで特定の脆弱性カテゴリをカバーします。
実行環境の統合: 特化型エージェントは、メインネットの状態をフォークし、テスト用コントラクトをデプロイし、シミュレートされた環境でエクスプロイトを検証できます��。汎用モデルはコードを静的に推論するため、実行時にのみ発生する動的な相互作用を見逃してしまいます。
競争環境は急速に進化しています。Nethermind の AuditAgent は UBS や LUKSO とのケーススタディで導入されています。Consensys Diligence は AI エージェントと人間の専門家によるガイダンスを組み合わせた Chonky を発表しました。Sherlock や Veritas Protocol は自動スクリーニングツールを提供しています。業界全体で形成されつつあるコンセンサスは、AI スクリーニングと人間の専門知識を組み合わせたハイブリッドアプローチは脆弱性の 95% 以上 を検出するのに対し、手動のみでは 60 〜 70%、AI のみの監査では 70 〜 85% に留まるということです。
DeFi プロトコルチームにとっての意味
DeFi スマートコントラクトをデプロイまたは維持しているチームにとって、この影響は重大です。
継続的なモニタリングが必須となります。 デプロイ前の単発の監査は必要ですが、それだけでは不十分です。脅威が検出された際にコントラクトを一時停止できるモニタリングシステムと統合され、24 時間 365 日体制で脆弱性をスキャンする AI エージェントが、標準的なインフラになるでしょう。
監査コストが圧縮されています。 AI 支援による監査は、すでに純粋な手動レビューよりも 10 倍高速です。特化型ツールの成熟に伴い、以前はトップクラスの監査人を雇う余裕がなかった小規模なプロトコルでも、包括的なセキュリティスクリーニングを利用できるようになります。
防御側の優位性は本物ですが、時間は限られています。 現在、特化型のセキュリティエージェントは防御において汎用 AI を凌駕しています。しかし、フロンティアモデルのエクスプロイト能力の急速な向上(1.3 ヶ月ごとに倍増)は、防御インフラを構築するための猶予期間が閉ざされつつあることを意味します。
オープンなベンチマークが分野全体を加速させます。 Cecuro のオープンソースデータセットと OpenAI/Paradigm の EVMbench は、あらゆるチームが実際の攻撃に対して自社のセキュリティツールの評価と改善を行うことを可能にします。これらのベンチマークに対して防御策をテストしていないプロトコルは、取り残されることになります。
今後の展望:インフラとしての AI 監査人
スマートコントラクトは、日常的に 1,000 億ドル以上のオープンソース暗号資産を保護しています。AI の攻撃能力と AI の防御能力の収束は、セキュリティのあり方を「定期的なコンサルティング業務」から「継続的なインフラ要件」へと再構築しています。
Cecuro のベンチマーク、EVMbench、そして Anthropic の攻撃的リサーチから得られたデータはすべて同じ結論を指し示しています。スマートコントラクトセキュリティの未来は、人間か AI かの二択ではなく、DeFi をドメイン固有のレベルで理解する特化型セキュリティエージェントを、人間がガイドする AI システムなのです。
AI 監査を「あれば良いもの」として扱うチームは、それを「標準的な運用手順」として扱う攻撃者に対して、ますます防戦一方となるでしょう。DeFi セキュリティにおいて、非対称性は常に攻撃者に有利に働いてきました。特化型 AI エージェントは、攻撃側が完全に成熟する前に業界がそれらを採用する場合に限り、その方程式を逆転させる可能性を秘めた最初のテクノロジーです。
BlockEden.xyz は、DeFi プロトコルやセキュリティチームがリアルタイムのオンチェーンデータアクセスに不可欠とする、堅牢なブロックチェーン API インフラストラクチャを提供しています。これは AI 駆動のセキュリティが求める継続的なモニタリングと脅威検出に欠かせません。API マーケットプレイスを探索して、DeFi セキュリティが必要とするスピードと信頼性のために設計されたインフラ上で構築を開始しましょう。