Agentul de AI A1 creat de cercetători poate fura criptomonede
Un grup de cercetători de la University College London și Universitatea din Sydney a dezvoltat un agent AI capabil să detecteze și să valorifice erori de securitate din contracte inteligente scrise în Solidity, limbajul folosit în rețele blockchain precum Ethereum sau Binance Smart Chain.
Foto: playtech.roSistemul automatizat, numit A1, a demonstrat o eficiență notabilă, generând cod executabil care ar putea fi folosit pentru a fura criptomonede în mod autonom, transmite Știri.md cu referire la playtech.ro.
A1, agentul AI care produce cod de atac funcțional și profitabil
Spre deosebire de alte instrumente AI orientate spre securitate, A1 nu se limitează la raportarea de posibile vulnerabilități. Acest agent poate crea direct exploatări funcționale, testate în medii simulate istorice din blockchain.
Conform studiului publicat recent într-un articol academic, A1 a fost testat pe 36 de contracte inteligente reale și a avut o rată de succes de 63% în generarea de exploatări viabile.
Agenții AI folosiți au inclus modele dezvoltate de OpenAI (o3 și o3-pro), Google (Gemini), DeepSeek și Alibaba (Qwen).
Modelele OpenAI s-au dovedit cele mai eficiente: în cinci interacțiuni de ciclu, o3-pro a identificat vulnerabilități și a optimizat câștigurile în 88,5% din cazuri, generând profituri care ar putea atinge 8,5 milioane de dolari per contract exploatat.
Printre instrumentele integrate în A1 se numără module pentru extragerea codului sursă, inițializarea parametrilor, interpretarea funcțiilor contractului, testarea codului și estimarea profitului potențial.
Astfel, sistemul funcționează ca un „hacker” complet automatizat, capabil să înțeleagă, să evalueze și să atace un contract inteligent fără intervenție umană.
Costuri reduse, riscuri legale mari și o problemă de asimetrie
Costul pe experiment variază între 0,01 și 3,59 dolari, ceea ce înseamnă că o exploatare de 100.000 de dolari ar putea susține mii de teste suplimentare, în timp ce o recompensă de tip bug bounty pentru „whitehats” acoperă o fracțiune infimă.
Autorii atrag atenția asupra diferenței uriașe de eficiență între atacatori și apărători: dacă atacatorii folosesc AI, iar apărătorii metode clasice, costurile și viteza vor înclina balanța în favoarea infractorilor.
Cercetătorii recomandă ca echipele de dezvoltare să folosească astfel de unelte chiar ele, pentru a-și testa în mod continuu propriile protocoale și a preveni atacurile înainte ca un actor rău intenționat să le exploateze.
Modelul economic actual al securității cibernetice în Web3 nu este sustenabil, spun ei, deoarece presupune o încredere exagerată în buna-credință a celor care găsesc vulnerabilitățile.
Deși inițial cercetătorii au anunțat că vor publica A1 ca proiect open-source, această decizie a fost reevaluată, dată fiind puterea potențial distructivă a agentului. Potrivit declarațiilor oficiale, publicarea codului a fost amânată până la stabilirea unei direcții etice clare.