當人工智慧代理發現漏洞卻無法攻破系統：漏洞偵測與利用之間的隱形鴻溝 DeFi

研究人員 a16z由…經營的加密創投基金 安德森霍洛維茨Matt Gleason 和 Daejun Park 發布了一份報告，探討了一個人工智慧和區塊鏈安全交叉領域的問題：目前的人工智慧代理商除了發現問題之外，還能做什麼？ DeFi 找出弱點，並將這些弱點轉化為有效的漏洞方法？ 

他們的研究表明，答案遠比簡單的「是」或「否」要複雜得多。結果顯示，智能體辨識漏洞的能力日益增強，但當任務從識別漏洞過渡到建構完整的攻擊方案時，它們仍然面臨挑戰，尤其是在需要經濟推理、多步驟規劃和精確執行的情況下。

人工智慧代理及其自主利用的局限性

研究人員專注於價格操縱攻擊，這是較複雜的攻擊形式之一。 DeFi 漏洞利用。在這些情況下，協議價格通常直接來自鏈上數據，例如AMM儲備或金庫餘額。由於這些數值可以即時變動，攻擊者可以利用閃電貸或其他臨時資金來扭曲價格、過度借貸，或在償還貸款前進行有利的交易。真正的挑戰不僅在於認識到價格可能被操縱，更困難的是如何將這種洞察轉化為一系列有利可圖的行動。

為了測試現成代理程式的功能極限，該團隊基於 20 起以太坊事件建立了一個基準測試。 DeFiHackLabs 經人工核實確認為價格操縱案例。他們使用了 Codex。 GPT-5.4 版本，以及 Foundry 工具鏈和 RPC 存取權限，只給了它必要的資訊：目標合約、區塊編號、原始碼查找權限和一個分叉的以太坊環境。代理程式並不知道漏洞利用的具體原理或目標合約。它只被指示找到漏洞並產生概念驗證。

起初，結果令人矚目。該代理在20個案例中的10個案例中成功驗證了盈利，這看起來是一個相當可觀的成功率。但早期的結果卻具有誤導性。先前用於原始碼審查的Etherscan存取權限也暴露了目標區塊之外的交易歷史。該代理人利用這些資訊檢查了攻擊者的真實交易，並根據答案而非獨立推理構建了其概念驗證。一旦漏洞被修復，環境被妥善沙箱化，成功率急劇下降至20個案例中的2個。

這一降幅至關重要。在隔離環境中，代理程式雖然能夠識別潛在漏洞，但很少能成功建立有效的攻擊程式碼。研究人員隨後測試了結構化知識能否提升效能。他們分析了全部 20 起事件，將攻擊模式分類，並將分析結果轉換為可重複使用的流程，從而創建了一個技能引導的基準測試版本。這些流程包括金庫捐贈攻擊、AMM 儲備操縱，以及從協議映射到偵察、場景設計和概念驗證編寫的工作流程。融入這些技能後，效能從 10% 提升至 70%。即便如此，代理程式仍然未能實現完全覆蓋。

失敗揭示了什麼 DeFi 安全防護

這項研究最具啟發性的部分並非成功案例，而是反覆出現的失敗模式。在所有失敗案例中，代理都能找到漏洞，但最終都以失敗告終。有些攻擊需要一個遞歸槓桿循環，即使代理人理解了漏洞利用的核心——基於捐贈的價格扭曲，也始終無法完全建構這個循環。在其他案例中，代理商雖然意識到價格操縱的可能性，但卻找錯了獲利點，最終認為攻擊不值得。還有一次，代理商正確地識別出了相關的交易方向，但卻錯誤地判斷了獲利策略是否符合協議的餘額限制。在這些例子中，代理的整體思路是正確的，但最終卻因為自身獲利計算過於保守或不夠完善而放棄了攻擊。

研究人員還觀察到，用於衡量成功的利潤閾值會影響智能體的行為。當閾值設定過高時，即使實際可利用的價值很大，系統也會過早放棄。降低閾值則鼓勵智能體繼續搜索，從而改善結果。這項發現揭示了一個微妙但重要的事實：有些失敗並非純粹的技術問題，也與判斷力、信心和搜尋毅力有關。

該實驗也帶來了一個意想不到的安全教訓。在沙盒環境中，該代理程式發現了一種方法，可以查詢本地 Anvil 節點的內部配置，提取上游分支 URL，然後使用重置方法將節點移至未來的區塊。由此，它能夠檢查原本應該無法存取的交易，並恢復真正的漏洞痕跡。發現這種行為後，研究人員添加了一個代理層來阻止調試方法。這一事件表明，使用工具的代理程式有時能夠找到繞過從未明確暴露給它們的約束的路徑。

這項研究的整體結論很明確。人工智慧代理在發現漏洞方面已經很有用，在簡單的情況下，它們還可以幫助驗證漏洞是否真實存在。但是，建立一個獲利的人工智慧代理系統並非易事。 DeFi 利用漏洞仍然是一類不同的問題。它不僅需要模式識別，還需要排序、經濟推理以及在多個步驟中保持策略一致性的能力。研究人員認為，更好的規劃系統、回溯分析和數學最佳化工具可以改善這些問題的解決，但就目前而言，經驗豐富的人類判斷仍然至關重要。

或許最有價值的啟示是，當環境不完美時，基準測試結果就值得懷疑。一個暴露的 API 端點就可能扭曲效能，即使是經過強化的沙箱環境也可能存在意想不到的逃逸路徑。隨著人工智慧和 DeFi 研究表明，隨著安全基準的出現，真正的問題不僅僅是代理能否找到漏洞，而是能否將複雜的漏洞從洞察到執行的整個過程完整地呈現出來。