a16z Crypto 研究員 Daejun Park 與 Matt Gleason 於 4 月 28 日發布報告,測試 AI 代理能否真正「動手」複現 DeFi 漏洞——而不只是「找到」漏洞。結果顯示:沒有額外知識時成功率僅 10%,但一旦配備結構化知識(歷史攻擊路徑、協議漏洞模式、多步稽核工作流),成功率直接跳到 70%。這份報告給 DeFi 協議方發出最直接的警告:AI 自動化攻擊已不再是科幻,而是可量化的現實威脅。
(前情提要:a16z 警告「AI代理不看廣告」會直接下單:2910億美元網路廣告將毀滅)
(背景補充:Y Combinator 創業指南解讀:AI Agent 在未來有哪些發展趨勢?)
本文目錄
- 實驗設計:20個真實漏洞,兩種條件對照
- 數字說話:結構化知識是分水嶺
- 結構化知識長什麼樣?
- 核心結論:找漏洞與打穿漏洞,是兩回事——但差距正在縮小
- 對協議方的意義:必須假設 AI 會自動掃你的漏洞
。
AI 代理能不能真的打穿一個 DeFi 協議?不是「找到漏洞」,而是「寫出完整的攻擊程式並套現」?這是 a16z Crypto 研究員 Daejun Park 與 Matt Gleason 在 4 月 28 日這篇報告想回答的核心問題。
答案令人警惕:給 AI 代理結構化知識,成功率從 10% 飆到 70%。
實驗設計:20個真實漏洞,兩種條件對照
研究團隊從 DeFiHackLabs 資料庫中抽出 20 個以太坊真實發生過的「價格操縱漏洞」事件,設計了兩種條件:
- 基礎代理(無知識):只給 Foundry 工具鏈、RPC 端點、Etherscan API,要求代理自主找出漏洞並寫出可套現的概念驗證(PoC)程式
- 技能引導代理(有結構化知識):同樣工具,額外提供研究員整理的「技能檔案」,包含歷史攻擊根本原因分析、漏洞模式分類、多步稽核工作流、以及場景執行模板
實驗還特別強調:測試環境必須是「隔離環境」。研究員發現代理有一次透過 anvil_reset 方法重置節點至未來區塊,藉此存取原本受限的歷史攻擊交易資料——這種「沙盒逃逸」行為讓初期 50% 的資料失去意義,最終以嚴格隔離後的數字為準。
數字說話:結構化知識是分水嶺
結果非常明確:
- 基礎代理:10%(20 案例中成功 2 個)
- 技能引導代理:70%(20 案例中成功 14 個)
這裡的「成功」定義是:代理能寫出可在分叉主網環境中實際套現的攻擊程式,不只是概念上識別出漏洞。
研究聚焦的漏洞型別全部屬於 DeFi 特有的「價格操縱」類別,涵蓋四種主要手法:保險庫捐贈攻擊(vault donation attacks)、AMM 池平衡操縱、閃電貸價格扭曲、遞迴借貸槓桿機制。這些都是過去幾年造成數億美元損失的真實攻擊向量。
結構化知識長什麼樣?
研究員提供的「技能檔案」不是一份模糊的說明書,而是高度結構化的操作知識:
- 事件分析層:針對歷史駭客事件逐一記錄根本原因、攻擊路徑、關鍵合約互動
- 模式分類層:將不同漏洞歸類成可重用的「攻擊原型」,讓代理學會舉一反三
- 工作流設計層:程式碼獲取 → 協議對映 → 漏洞搜尋 → 偵察 → 場景設計 → PoC 撰寫,六步驟標準化流程
- 場景執行模板:每種攻擊型別提供具體的執行框架,讓代理不必從零設計
這種知識的來源並不神秘。MITRE 的 AADAPT 框架(針對數位金融系統的攻擊者戰術知識庫)就是一個公開的結構化知識庫。換句話說,讓 AI 代理攻擊成功率從 10% 跳到 70% 的「秘密武器」,理論上任何人都能取得。
核心結論:找漏洞與打穿漏洞,是兩回事——但差距正在縮小
報告的核心洞察是:「識別漏洞」和「構建可用的漏洞利用程式」是質量上不同的兩種能力。
Park 與 Gleason 指出,即使在「幾乎給了完整答案」的測試條件下,代理仍在複雜的多步攻擊上失敗——這說明瓶頸不在「知識」,而在「執行複雜性」,特別是需要跨多個合約、多次交易才能完成的攻擊。
但這個結論有個不容忽視的另一面:70% 已是極高的成功率,而且這只是 2026 年 4 月的技術水準。隨著推理模型能力提升、結構化知識庫(如 MITRE AADAPT、Anthropic 的 SCONE-bench 405 個真實案例)日益豐富,這個數字只會往上走。
對協議方的意義:必須假設 AI 會自動掃你的漏洞
此前業界有一個普遍預設:AI 能找漏洞,但沒辦法真的動手打。a16z 的研究打破了這個假設的下限。
對所有 DeFi 協議方而言,這份報告帶來的訊息是:安全審計的門檻已經提升。不能再只防「人工稽核員找不到的漏洞」,還必須防「AI 代理配備結構化知識庫後能自動複現的漏洞」。
研究員在結尾也坦承,代理在簡單案例中已可用於漏洞識別和自動 PoC 生成,但仍無法取代資深安全專家。這是目前的邊界——但邊界的位置,每幾個月就會移動一次。
📍相關報導📍
a16z 逆勢再募 20 億美元加密基金,但隔壁創投已經跑去看 AI 和機器人
隱私賽道爆發,一文詳解 a16z 連續領投兩輪的隱私區塊鏈 Seismic
美國稅局要求DEX進行KYC,a16z支援提告:越權違憲 嚴重威脅DeFi產業未來
加密 VC 的分水嶺:a16z、Dragonfly、Paradigm 的三種生存答案
加州大學研究「AI 腦霧」現象:14% 上班族被Agent、自動化搞瘋,離職意願高四成
