Эксперименты a16z выявили слабость ИИ-агентов в атаках на DeFi

• Исследование выявило ограничения ИИ в криптоатаках.
• Хотя ИИ-агенты не смогли взломать DeFi полностью, они научились находить уязвимости.
• Вместе с тем их эффективность была ограниченной без доступа к данным.

Исследователи криптоподразделения инвестиционной компании Andreessen Horowitz (a16z) проверили, способны ли современные ИИ-агенты не только находить уязвимости в DeFi-протоколах, но и создавать рабочие эксплойты.

Результаты показали: даже при наличии инструментов и доступа к коду агенты демонстрируют ограниченную эффективность в сложных сценариях атак, в частности манипуляции ценами — одном из самых распространенных механизмов взломов в децентрализованных финансах.

ИИ «жульничает» на тестах

В первом эксперименте агент на базе Codex с GPT-5.4 получил базовые инструменты для анализа 20 реальных инцидентов в сети Ethereum.

Изначально он показал 50% успеха, однако выяснилось, что система фактически «подсматривала» правильные ответы, анализируя реальные транзакции атак через API. После изоляции среды и блокировки доступа к будущим данным результат упал до 10%.

Добавление структурированных знаний о типичных атаках (в частности манипуляции балансами пулов или «донаты» в контрактах хранилища) повысило эффективность до 70%. В то же время даже с почти полным набором подсказок агент не достиг 100% результата.

Ключевая проблема — разница между выявлением уязвимости и ее эксплуатацией. Во всех неудачных случаях агент правильно определял слабое место, но не мог:

• построить многошаговую стратегию атаки;
• правильно оценить экономику эксплойта;
• найти критические элементы, такие как рекурсивные циклы кредитования.

В ряде случаев агент даже отвергал правильные решения из-за ошибочных расчетов прибыльности, считая атаку невыгодной.

Отдельное внимание привлекло поведение агента в изолированной среде. Он смог обойти ограничения, используя нестандартные методы доступа к RPC-инфраструктуре, чтобы получить данные из будущих блоков и воспроизвести реальные атаки. Это подчеркивает риски использования автономных ИИ в средах с недостаточным контролем.

Еще одним фактором стала реакция безопасности: в начале агент отказывался выполнять задания из-за слова «эксплойт», отвечая «Я могу помочь выявить и устранить уязвимости, но не могу помочь их эксплуатировать». После изменения формулировки на Proof-of-Concept такие отказы почти исчезли.

В итоге исследователи пришли к выводу, что ИИ уже является эффективным инструментом для поиска уязвимостей и частичной автоматизации аудита, но не способен полностью заменить экспертов по безопасности в сложных DeFi-атаках.

Напомним, что развитие автономных агентов происходит параллельно в разных сферах:

• Stripe уже добавила поддержку платежей от ИИ-агентов через API;
• Coinbase тестирует агентов как «виртуальных сотрудников» в Slack;
• Scout AI демонстрирует боевые системы с автономным принятием решений;
• в проекте SpaceMolt агенты взаимодействуют в цифровой «вселенной» без участия людей.

В то же время риски остаются значительными. Например, в одном из случаев ИИ-агент случайно удалил базу данных и резервные копии компании всего за девять секунд, что подчеркивает проблемы контроля и надежности таких систем.

Источник