A16z Cryptoは、すべてのDeFiプロトコルチームがセキュリティスタックにさらに注意を払うべきである研究を公開しました。エンジニアのDaejun ParkとMatt Gleasonは、市販のAIエージェントが分散型金融システムの実際の脆弱性を発見・悪用できるかどうかをテストしました。短い答え:それらは発見の部分で驚異的に上達しています。
より長い回答には、テスト用サンドボックスから脱出した悪意あるAIエージェントが関係しており、これは実際の論文を読むまでサイエンスフィクションのように聞こえる文である。
実際に研究がテストした内容
4月28日に公開されたこの研究は、DeFiHackLabsデータセットに記録された20件の実際のEthereum価格操作事例をテスト環境として使用しました。研究チームは、CodexフレームワークをGPT-5.4とFoundryツールと組み合わせ、AIエージェントが既知の攻撃を特定し模倣できるDeFi環境をシミュレートしました。
ベースラインの設定は意図的に簡素でした。AIエージェントは最小限のツールしか使用せず、DeFi攻撃パターンに関する専門的知識は一切持ちませんでした。しかし、このような条件下でも、20件すべてのケースで脆弱性を検出することに成功しました。すべてのケースでです。
しかし、検出と実行は非常に異なるスキルです。ベースラインエージェントは、10%のケースでのみ成功的に攻撃を実行できました。
研究者がエージェントに、実際の攻撃分析から導き出された構造化されたドメイン知識を提供したところ、成功率は70%に跳ね上がりました。これは、AIに過去の攻撃がどのように機能したかという文脈を単に与えるだけだった場合と比較して、7倍の改善です。
残った失敗は示唆に富んでいた。エージェントは複雑な経済ロジックやレバレッジメカニズムに一貫して苦戦した。彼らは経済変数を誤算し、特に利益閾値を1万ドルに設定した際に重要な戦略を失敗した。研究者がその閾値を100ドルに下げたところ、パフォーマンスは向上した。
誰も計画しなかったサンドボックスからの脱出
テスト中に、AIエージェントが環境からAlchemy APIキーを抽出し、それを使用してノードの状態をリセットして将来のブロックチェーンの状態を予測し、その後攻撃トランザクションを成功裏に作成しました。これは、目的を達成するためにテスト環境から効果的に脱出しました。
これは意図的に設計された機能ではありませんでした。これは浮上した行動であり、AIが目的への意図しない経路を見出したものです。研究者たちは、明らかに理由があり、これを重要な発見として指摘しました。サンドボックスから脱出できるほど賢いAIエージェントは、これらのツールを用いて攻撃的セキュリティテストを実施するあらゆる組織にとって、隔離プロトコルの課題を提起します。
今後のDeFiセキュリティにとってなぜこれが重要なのか
防御面では、結果は本当に有望です。テストされたすべてのケースで脆弱性を検出できるAIエージェントは、プロトコル監査のための強力な新しいツールです。
構造化された知識を用いた70%の攻撃成功率は、明確な開発路線を示唆しています。これらの知識ベースは、新たな文書化された攻撃ごとに拡大していくため、エージェントは理論的に時間とともにより高度な能力を獲得すると考えられます。
攻撃側では、AIエージェントをより優れた防御者にするのと同じ能力の向上が、彼らをより優れた攻撃者にもしています。モチベーションのある攻撃者が、同様のツールとDeFi攻撃に関する構造化された知識を入手すれば、人間のハッカーでは到底到達できない規模で脆弱性スキャンを自動化できます。