AI 智能体刚刚利用了 5.5 亿美元的智能合约漏洞 —— 每次攻击成本仅为 1.22 美元
仅需 1.22 美元——比一杯咖啡的价格还低——AI 代理现在就可以扫描智能合约,识别其漏洞并生成可用的漏洞利用程序(exploit)。这并非安全白皮书中虚构的理论情景。这是 SCONE-bench 的实测结果,它是首个评估 AI 代理利用真实智能合约能力的基准测试,由 Anthropic 和 MATS Fellows 研究人员于 2025 年底发布。在 2020 年至 2025 年间实际遭到攻击的 405 个合约中,10 个前沿 AI 模型共同为其中的 207 个生成了交钥匙式(turnkey)的漏洞利用,产生的模拟被盗资金总额达 5.501 亿美元。
其影响远远超出了研究实验室。DeFi 协议的总锁仓量(TVL)合计超过 1000 亿美元。如果漏洞利用能力每 1.3 个月翻一番——正如 Anthropic 的数据显示的那样——支撑链上金融的安全假设正在接近拐点。
深入 SCONE-bench:首个以美元计价的漏洞利用基准测试
传统的智能合约安全基准测试衡量 AI 是否能检测到漏洞类别——重入攻击(reentrancy)、预言机操纵(oracle manipulation)、访问控制缺陷等。SCONE-bench 采取了根本不同的方法。
它基于 DefiHackLabs 仓库构建,包含了以太坊(Ethereum)、BNB Smart Chain 和 Base 链上 2020 年至 2025 年间在现实世界中“实际”遭到攻击的 405 个合约。每个测试都在 Docker 容器内运行,并带有一个在原始攻击发生的准确区块高度分叉的本地区块链,以确保环境可重现。
该基准测试不要求模型对错误类型进行分类,而是要求它们窃取资金。
代理通过模型上下文协议(MCP)与沙箱环境交互,使其能够访问读取合约源代码、查询链上状态以及提交交易的工具。评估指标非常直接:模拟被盗资金的总美元价值。这种以美元计价的评分系统使结果能与现实世界的漏洞利用经济效益直接对比。
当研究人员测试了包括 Claude Opus 4.5、Claude Sonnet 4.5、GPT-5 等在内的 10 个领先 AI 模型时,结果令人警醒。这些模型总共利用了基准测试中 51.11% 的合约。
仅 Claude Opus 4.5 就利用了 17 个在其 2025 年 3 月知识截止日期后被破解的合约,模拟价值达 450 万美元。加上 Claude Sonnet 4.5 和 GPT-5,截止日期后的漏洞利用总额达到 460 万美元——这证明这些模型可以发现并利用它们在训练期间从未见过的漏洞。
让每个协议都应警惕的 1.22 美元攻击经济学
AI 驱动的漏洞利用经济学已经跨越了一个关键阈值。使用 GPT-5 对 2,849 个最近部署的 BNB Smart Chain 合约进行测试的总成本为 3,476 美元——平均每个合约仅需 1.22 美元。在这个价位上,攻击者只需花点零花钱就能扫描主流链上部署的每一个新合约。
效率提升正在加速。Anthropic 在分析了四代 Claude 模型后发现,产生成功漏洞利用所需的 Token 数量中位数下降了 70.2%。从实际操作来看,攻击者在相同的计算预算下,现在的成功漏洞利用次数是六个月前的 3.4 倍。
或许最令人不安的是:当研究人员让 GPT-5 和 Claude Sonnet 4.5 针对那 2,849 个最近部署且没有已知漏洞的合约时,两个代理都独立发现了两个此前未知的 0-day 漏洞,并生成了相应的攻击策略。
这些 0-day 漏洞的潜在利用价值为 3,694 美元。虽然按 DeFi 标准衡量金额较小,但其原理极其重要:AI 代理不仅仅是在重演已知攻击,它们正在发现全新的攻击方式。
在过去的一年里,2025 年基准测试子集上的潜在漏洞利用收益大约每 1.3 个月翻一番。如果这一趋势持续下去,合约部署与 AI 破解能力之间的窗口期正在迅速缩小。
从基准测试到现实:Moonwell 事件
2026 年 2 月 17 日,研究基准与现实后果之间的桥梁正式显现。当时 DeFi 借贷协议 Moonwell 披露�了一起安全漏洞,导致约 178 万美元的损失。该漏洞被追溯到 AI 生成代码中的预言机配置错误——具体而言,是由 Claude Opus 4.6 参与编写的代码。
这个技术错误极其简单,却极具欺骗性。AI 生成的代码没有将 cbETH/ETH 汇率乘以 ETH/USD 价格馈送,而是直接使用了原始汇率比例,就好像它已经是以美元计价的一样。结果导致:cbETH 的定价约为 1.12 美元,而非其接近 2,200 美元的实际价值,从而引发了连锁性的快速清算。
Moonwell 事件被广泛讨论为首个与“氛围代码”(vibe coding)直接相关的重大 DeFi 漏洞利用事件——这种开发方法过度依赖 AI 生成的代码,且缺乏足够的人工监督。这使双重威胁具体化:AI 模型在发现现有合约漏洞方面变得越来越强的同时,如果在开发过程中被粗心使用,也会引入新的漏洞。
防御性军备竞赛:AI 是盾牌,而不仅仅是利剑
安全社区并未止步不前。2026 年 2 月,智能合约安全公司 Cecuro 发布了一项基准测试,结果显示,一个专门构建的 AI 安全代理在 90 个已被利用的 DeFi 合约中检测到了 92% 的漏洞,涵盖了 9680 万美元的漏洞利用价值。相比之下,在相同底层模型上运行的基准 GPT-5.1 编码代理仅检测到 34% 的漏洞,价值 750 万美元。这种差距并非源于 AI 的原始能力,而是在其之上叠加了特定领域的安全方法论。
OpenAI 和 Paradigm 联合推出了 EVMbench,这是一个由 40 次专业审计中精选的 120 个漏洞构建�的测试框架。EVMbench 旨在衡量 AI 理解和保护智能合约的能力,它借鉴了公开审计竞赛和 Paradigm 自身的 Tempo 审计流程,为评估防御性 AI 能力提供了一种标准化的方式。
Anthropic 本身也开源了 SCONE-bench,其理由是攻击者已经拥有强大的经济动力来构建私有的漏洞利用工具。扣留防御性基准测试只会阻碍合法的安全研究人员。通过公开漏洞利用基准测试,该公司旨在让整个安全生态系统能够进行测试、迭代并构建更强大的防御体系。
新出现的模式非常清晰:通用型 AI 模型在针对智能合约时是危险的,但经过领域专家知识、形式化验证知识和安全专用工具训练的 专业 安全代理,在防御方面的表现明显优于前者。这场竞赛是在每一代新模型出现时都会自动提升的攻击能力,与需要刻意的、专家驱动的工程设计的防御能力之间的较量。
协议团队现在需要做什么
SCONE-bench 的结果和 Moonwell 事件共同描绘了智能合约安全未来的清晰图景。几种防御策略正变得不可或缺:
- 持续的 AI 驱动审计:面对随每个模型版本发布而演变的威胁,静态的一次性审计已力不从心。协议需要与攻击能力提升速度相匹配的持续 AI 安全监控。
- AI 生成代码的多层验证:Moonwell 的漏洞利用证明,AI 编写的 Solidity 代码需要与人工编写的代码相同——甚至更高——的审查。自动化的预言机验证、形式化验证和对抗性测试应成为任何涉及资产定价的代码路径的标准流程。
- 攻击成本的经济建模:每次合约扫描成本仅为 1.22 美元,现在的攻击成本已远低于大多数漏洞赏金计划所覆盖的最低阈值。协议必须重新评估其安全经济学,确保赏金价值和保险覆盖范围反映了新的成本结构。
- 对抗性基准测试:团队应在部署前通过 SCONE-bench 和类似框架运行其合约,将 AI 驱动的漏洞利用测试作为标准部署流水线的一部分。
- 专用代理的深度防御:通用 AI 无法替代专门构建的安全代理。Cecuro 专用系统 92% 的检测率与基准 GPT-5.1 34% 的检测率对比,凸显了领域特定安全工具的重要性。
链上安全的转折点
数据是不言而喻的。针对智能合约的 AI 漏洞利用能力正在呈指数级增长——潜在收益每 1.3 个月翻一倍,而每次攻击的成本随着每一代模型的出现而下降。今天在模拟中被利用的 5.5 亿美元,预示着如果防御措施跟不上步伐,明天主网可能会发生什么。
但是,赋能漏洞利用的相同 AI 能力也为行业提供了有史以来最强大的防御工具。问题不在于 AI 是否会重塑智能合约安全,它已经重塑了。问题在于,部署超过 1000 亿美元链上资产的建设者、审计师和协议,是否会以攻击者拥抱 AI 驱动进攻的同样紧迫感,来拥抱 AI 驱动的防御。
1.3 个月的翻倍率几乎没有留给人们掉以轻心的空间。
BlockEden.xyz 在 20 多个网络上提供企业级区块链 API 基础设施,通过可靠的节点访问帮助开发人员在安全的基础上进行构建。探索我们的 API 市场,为你的 dApp 提供持久的基础设施支持。