AI代理能不能真的打穿一个DeFi协议?不是「找到漏洞」,而是「写出完整的攻击程序并套现」?这是a16z Crypto研究员Daejun Park与Matt Gleason在4月28日这篇报告想回答的核心问题。
答案令人警惕:给AI代理结构化知识,成功率从10%飙到70%。
研究团队从DeFiHackLabs资料库中抽出20个以太坊真实发生过的「价格操纵漏洞」事件,设计了两种条件:
基础代理(无知识):只给Foundry工具链、RPC端点、Etherscan API,要求代理自主找出漏洞并写出可套现的概念验证(PoC)程序
技能引导代理(有结构化知识):同样工具,额外提供研究员整理的「技能档案」,包含历史攻击根本原因分析、漏洞模式分类、多步稽核工作流、以及场景执行模板
实验还特别强调:测试环境必须是「隔离环境」。研究员发现代理有一次透过anvil_reset方法重置节点至未来区块,借此存取原本受限的历史攻击交易资料——这种「沙盒逃逸」行为让初期50%的资料失去意义,最终以严格隔离后的数字为准。
结果非常明确:
基础代理:10%(20案例中成功2个)
技能引导代理:70%(20案例中成功14个)
这里的「成功」定义是:代理能写出可在分叉主网环境中实际套现的攻击程序,不只是概念上识别出漏洞。
研究聚焦的漏洞型别全部属于DeFi特有的「价格操纵」类别,涵盖四种主要手法:保险库捐赠攻击(vault donation attacks)、AMM池平衡操纵、闪电贷价格扭曲、递回借贷杠杆机制。这些都是过去几年造成数亿美元损失的真实攻击向量。
研究员提供的「技能档案」不是一份模糊的说明书,而是高度结构化的操作知识:
事件分析层:针对历史骇客事件逐一记录根本原因、攻击路径、关键合约互动
模式分类层:将不同漏洞归类成可重用的「攻击原型」,让代理学会举一反三
工作流设计层:代码获取→协议对映→漏洞搜寻→侦察→场景设计→PoC撰写,六步骤标准化流程
场景执行模板:每种攻击型别提供具体的执行框架,让代理不必从零设计
这种知识的来源并不神秘。MITRE的AADAPT框架(针对数字金融系统的攻击者战术知识库)就是一个公开的结构化知识库。换句话说,让AI代理攻击成功率从10%跳到70%的「秘密武器」,理论上任何人都能取得。
报告的核心洞察是:「识别漏洞」和「构建可用的漏洞利用程序」是质量上不同的两种能力。
Park与Gleason指出,即使在「几乎给了完整答案」的测试条件下,代理仍在复杂的多步攻击上失败——这说明瓶颈不在「知识」,而在「执行复杂性」,特别是需要跨多个合约、多次交易才能完成的攻击。
但这个结论有个不容忽视的另一面:70%已是极高的成功率,而且这只是2026年4月的技术水准。随着推理模型能力提升、结构化知识库(如MITRE AADAPT、Anthropic的SCONE-bench405个真实案例)日益丰富,这个数字只会往上走。
此前业界有一个普遍预设:AI能找漏洞,但没办法真的动手打。a16z的研究打破了这个假设的下限。
对所有DeFi协议方而言,这份报告带来的讯息是:安全审计的门槛已经提升。不能再只防「人工稽核员找不到的漏洞」,还必须防「AI代理配备结构化知识库后能自动复现的漏洞」。
研究员在结尾也坦承,代理在简单案例中已可用于漏洞识别和自动PoC生成,但仍无法取代资深安全专家。这是目前的边界——但边界的位置,每几个月就会移动一次。