Anthropic выявила эксплойты в смарт-контрактах на $550 млн с помощью ИИ

ИИ против смарт-контрактов: как модели Anthropic нашли эксплойты на $550 млн и зачем это меняет Web3-безопасность​

Работа исследовательских команд MATS и Anthropic Fellows стала одним из самых тревожных, но одновременно важных сигналов для индустрии Web3. Мы привыкли воспринимать ИИ как инструмент разработки, ускоритель рутинного анализа или помощника в аудите. Но SCONE-bench — новый специализированный бенчмарк для поиска уязвимостей в смарт-контрактах — впервые показал: интеллектуальные модели способны воспроизводить реальные эксплойты, которые ранее находили живые хакеры, и даже открывать новые уязвимости нулевого дня. Вопрос уже не в том, “может ли ИИ взломать Web3?”, а в том, “как быстро он научится делать это лучше человека?”.

SCONE-bench: первый бенчмарк, который тестирует способность ИИ к реальному взлому​

В отличие от десятков формальных наборов данных для анализа безопасности, SCONE-bench построен на реальных смарт-контрактах, которые уже были взломаны с 2020 по 2025 год. Авторы собрали 405 контрактов — от примитивных копий ERC-20 до сложных DeFi-протоколов, чьи уязвимости стоили пользователям десятки миллионов долларов.

Цель исследования проста: ответить на вопрос, может ли ИИ разобрать контракт и прийти к той же логике атаки, которую применил живой злоумышленник. Для этого модели должны:

• понять архитектуру контракта;
• выявить слабые места в логике управления состоянием;
• смоделировать возможный вектор атаки;
• написать работоспособный эксплойт;
• проверить его на тестовых данных.

Бенчмарк не ограничивается теорией: он требует именно создания работоспособной атаки, а не поверхностного анализа. Поэтому успехи моделей, показанные в отчёте, называют “тревожной вехой” для индустрии.

207 воспроизведённых эксплойтов и $550,1 млн гипотетического ущерба​

Результаты теста ошеломляют даже тех, кто давно работает в смарт-контрактах и безопасности. Из 405 исследованных контрактов модели нашли способ эксплуатации 207 из них — это 51,11% от всей выборки.

Главная цифра — $550,1 млн. Именно столько средств могли бы быть похищены, если бы ИИ-модели реализовали эксплойты в реальной сети. Это не абстрактные расчёты, а точные исторические данные, сопоставленные с фактическими потерями протоколов, подвергшихся атакам за последние пять лет.

Особо показательно то, что модели находили не только логические ошибки вроде неправильных проверок доступа, но и сложные цепочки багов, использованные хакерами в многоступенчатых атаках на DeFi-протоколы. Это означает, что у моделей достаточно контекстного понимания, чтобы реконструировать реальные сценарии взлома — без подсказки и знаний о случившемся.

Эффект “слепой зоны”: эксплойты после марта 2025 года​

Чтобы исключить возможность, что ИИ просто “вспоминает” известные уязвимости из обучающих данных, исследователи провели второй этап анализа. Они взяли субвыборку контрактов, взломанных после марта 2025 года — даты последнего обновления знаний большинства используемых моделей.

И даже в условиях информационной “слепой зоны” модели нашли эксплойты на сумму $4,6 млн. То есть ИИ оказался способен реконструировать атаку, о которой он не мог знать заранее. Это важно: впервые зафиксирована нижняя граница экономического ущерба, который могут нанести LLM при самостоятельном анализе смарт-контрактов.

GPT-5 и Sonnet 4.5 открыли две zero-day уязвимости — и создали рабочие эксплойты​

Третий этап исследования был самым рискованным. Команды протестировали две современные модели — GPT-5 и Sonnet 4.5 — на массиве из 2849 новых контрактов, развёрнутых в сети и не имеющих известных уязвимостей.

Модели работали в условиях “чистой среды”:

• не было открытых данных о багах;
• не было историй взломов;
• не было информации о зависимостях контрактов;
• ни один из протоколов ранее не фигурировал в базах инцидентов.

В этих условиях ИИ сумел найти две zero-day уязвимости и создать их рабочие эксплойты на общую сумму $3694. Да, это небольшие цифры по сравнению с $550 млн, но здесь важен принцип: модели доказали способность открывать новые лазейки в неаудированных или недостаточно защищённых протоколах.

Особенно любопытна экономическая сторона: ИИ от OpenAI потратил на API-запросы $3476 — почти столько же, сколько могла бы принести атака. Это подчёркивает, что поиск уязвимостей пока дорог, но быстро дешевеет: уже через год-два стоимость генерации эксплойтов может стать сопоставимой с нулевой.

Какие уязвимости ИИ находил чаще всего​

SCONE-bench фиксирует широкий спектр ошибок, но три категории встречались значительно чаще:

• несанкционированное изменение баланса — классическая логическая ошибка во внутренних функциях пересчёта токенов;
• ошибки проверки ролей — bypass механик доступа, позволяющий выполнить операции только для владельца;
• некорректная обработка внешних вызовов — reentrancy и её вариации;

Но куда важнее другое: модели научились выстраивать сложные цепочки действий, необходимых для эксплуатации, а не просто указывать на проблемную строку. Это качественно новый уровень способности ИИ к действиям, требующим символического и логического мышления.

Глобальные риски: как LLM меняют Web3 прямо сейчас​

Угроза от ИИ в сфере безопасности давно обсуждается теоретически. Но SCONE-bench впервые сформировал её количественно. Мы знаем, что:

• ИИ способен находить половину известных эксплойтов;
• ИИ способен воспроизводить атаки, произошедшие после даты заморозки знаний;
• ИИ способен находить новые уязвимости;
• ИИ может одновременно усиливать и защиту, и атаки;
• стоимость аудита ИИ стремительно снижается.

Это означает, что Web3 входит в этап эскалации: скорость разработки смарт-контрактов растёт, а вместе с ней — скорость появления потенциальных векторов атаки. Человек-аудитор уже не справляется с потоком, и на его место приходит ИИ. Но та же технология становится доступна и злоумышленникам.

Итоги: Web3-безопасность входит в новую эпоху​

SCONE-bench — не просто исследование. Это сигнал для всех разработчиков и команд безопасности. ИИ перестал быть инструментом подсказок: он стал инструментом поиска багов, моделирования атак и разработки эксплойтов. Он уже способен воспроизводить то, что делали лучшие хакеры за последние пять лет — и даже открывать новые сценарии.

Вопрос сегодня должен формулироваться не так: “опасен ли ИИ?”. Правильный вопрос: “готовы ли Web3-системы к тому, что аудит и атаки теперь симметричны?”. И это то будущее, которое становится реальностью быстрее, чем мы ожидали.

---

Редакция PavRC