Anthropic: agenti ia sempre più vicini a mettere a segno attacchi reali alla defi

Una recente ricerca condotta dal programma Anthropic Fellows in collaborazione con il programma ML Alignment & Theory Scholars (MATS) mette in luce come agenti di intelligenza artificiale avanzati siano ormai in grado di identificare e trasformare vulnerabilità di smart contract in exploit eseguibili, con potenziali ricadute pratiche per la sicurezza delle applicazioni decentralizzate.

Lo studio ha valutato modelli di frontiera confrontandoli con il dataset SCONE-bench, composto da 405 contratti che in passato sono stati effettivamente compromessi. I modelli testati, tra cui GPT-5, Claude Opus 4.5 e Sonnet 4.5, hanno generato collettivamente l’equivalente simulato di 4,6 milioni di dollari in exploit su contratti violati dopo i rispettivi cutoff di conoscenza, fornendo una stima minima di ciò che questa generazione di IA potrebbe aver realizzato in scenari reali.

Metodologia e risultati principali

I ricercatori hanno osservato che i modelli non si limitano a individuare semplici bug: sono in grado di sintetizzare script di exploit completi, orchestrare sequenze di transazioni e prosciugare liquidità simulata replicando dinamiche di attacchi realmente avvenuti sulle blockchain Ethereum e BNB Chain. Questa capacità include la generazione di codice operativo e la pianificazione di azioni multiple necessarie per convertire una vulnerabilità in profitto.

Oltre ai contratti già sfruttati, lo studio ha testato la capacità dei modelli di scovare vulnerabilità non ancora sfruttate. GPT-5 e Sonnet 4.5 hanno analizzato 2.849 contratti recentemente deployati sulla BNB Chain che non mostravano segni di compromissione pregressa, identificando due difetti di tipo zero-day che avrebbero generato un profitto simulato di 3.694 dollari.

Il primo difetto era causato dall’assenza di un modificatore di sola lettura in una funzione pubblica, circostanza che ha permesso all’agente di manipolare il proprio saldo di token. Il secondo consentiva a un chiamante di reindirizzare prelievi di commissioni specificando un indirizzo beneficiario arbitrario. In entrambi i casi gli agenti hanno prodotto script eseguibili che convertivano la vulnerabilità in un guadagno economico simulato.

Sebbene gli importi simulati risultino contenuti, la scoperta è significativa perché dimostra la fattibilità tecnica dell’automazione redditizia degli exploit, anche quando la superficie di attacco sembra limitata.

Aspetti economici e costo operativo

La ricerca riporta che l’esecuzione dell’agente sull’intero insieme di contratti è costata appena 3.476 dollari, con un costo medio di 1,22 dollari per singola esecuzione. Con il progressivo abbassarsi dei costi e il miglioramento delle capacità dei modelli, la relazione costi-benefici si sposta ulteriormente a favore dell’automazione delle scansioni e degli exploit.

Implicazioni per la DeFi e altri settori

I risultati indicano che la finestra temporale tra il deploy di un contratto e il possibile attacco tenderà a ridursi, in particolare nei contesti DeFi dove il capitale è visibile pubblicamente e una vulnerabilità può essere monetizzata istantaneamente. Questo aumenta la pressione su sviluppatori e protocolli affinché implementino misure difensive prima del rilascio in produzione.

Gli autori sottolineano inoltre che le capacità mostrate non sono strettamente limitate agli smart contract: le stesse sequenze logiche che permettono a un agente di gonfiare un saldo di token o di reindirizzare commissioni possono essere applicate al software tradizionale, a codebase closed-source e all’infrastruttura che sostiene i mercati delle criptovalute. Con il calo dei costi e un uso più efficace degli strumenti, la scansione automatizzata potrebbe estendersi a qualsiasi servizio che consenta l’accesso ad asset di valore.

Raccomandazioni e misure difensive

Per mitigare il rischio emergente, è necessario un approccio multilivello che combini misure tecniche, processi operativi e coordinamento tra attori del settore. Tra le contromisure utili si segnalano audit più rapidi e frequenti, l’adozione di tecniche di verifica formale per componenti critici, l’integrazione di strumenti di analisi statica e dinamica nelle pipeline di continuous integration, e programmi di bug bounty ben strutturati per incentivare la divulgazione responsabile.

A livello operativo, i protocolli possono introdurre time lock, multisig per funzioni sensibili, circuit breaker on-chain e monitoraggio in tempo reale delle anomalie transazionali. È inoltre importante rafforzare le pratiche di disclosure responsabile e favorire la collaborazione tra ricercatori, exchange, provider di infrastruttura e autorità competenti per gestire tempestivamente le vulnerabilità critiche.

I ricercatori presentano il lavoro come un avvertimento più che come una predizione inesorabile: i modelli ora riescono a eseguire compiti che in passato richiedevano attaccanti con elevate competenze tecniche, e la possibilità di exploit autonomi nel mondo della DeFi non può più essere considerata puramente ipotetica. La domanda per gli operatori del settore è quanto rapidamente le difese riusciranno a evolvere per tenere il passo.