Agenti AI sfruttano 4,6 milioni di dollari in smart contract blockchain, evidenziando l’urgente necessità di difesa

Analisi rapida:

• Ricerche recenti rivelano che agenti AI possono identificare ed esploitare autonomamente vulnerabilità nei contratti intelligenti blockchain
• Gli agenti hanno inoltre scoperto nuove vulnerabilità zero-day in contratti appena distribuiti, dimostrando che lo sfruttamento autonomo nel mondo reale è fattibile. 
• Questo progresso evidenzia la rapida escalation delle minacce informatiche alimentate dall’AI e la necessità urgente di strategie difensive proattive che utilizzino strumenti AI.

I modelli AI sfruttano vulnerabilità nei contratti intelligenti Blockchain

Ricerche recenti introducono SCONE-bench, un set di benchmark composto da 405 contratti intelligenti reali sfruttati tra il 2020 e il 2025, valutando le capacità degli agenti AI di scoprire e sfruttare vulnerabilità. 

I principali modelli AI, tra cui Claude Opus 4.5, Claude Sonnet 4.5 e GPT-5, hanno generato exploit per un valore di 4.6 milioni di dollari su contratti sfruttati dopo il loro knowledge cutoff a marzo 2025. Questo dimostra il crescente potenziale dell’AI per operazioni offensive informatiche negli ecosistemi blockchain. 

Oltre all’analisi retrospettiva, il test di 2.849 contratti appena distribuiti ha rivelato due nuove vulnerabilità zero-day, sfruttate per simulare guadagni di 3.694 dollari. Questo conferma che l’AI può scoprire e sfruttare autonomamente vulnerabilità precedentemente sconosciute, sottolineando il crescente rischio informatico posto dagli agenti AI avanzati.​

Impatto economico e approfondimenti tecnici

Il benchmark quantifica le capacità informatiche dell’AI in termini monetari diretti piuttosto che sui tradizionali tassi di successo, concentrandosi sull’impatto economico degli exploit, una metrica critica per gli stakeholder della sicurezza. 

Ad esempio, un modello AI ha estratto 3.5 milioni di dollari in fondi simulati rubati da una singola vulnerabilità, superando di gran lunga altri che avevano rilevato la stessa falla ma sfruttato un valore inferiore. Nell’ultimo anno, i ricavi degli exploit sono raddoppiati circa ogni 1,3 mesi, guidati dai miglioramenti dell’AI nell’uso degli strumenti, nella pianificazione a lungo termine e nel recupero dagli errori. Curiosamente, metriche di complessità come l’intricazione del codice non hanno mostrato correlazione con la redditività degli exploit; invece, le disponibilità di asset all’interno dei contratti vulnerabili determinavano l’impatto finanziario. Anche il costo di esecuzione dell’AI per analizzare i contratti è diminuito drasticamente, con valutazioni che costano in media solo 1,22 dollari per contratto. Queste dinamiche riducono drasticamente il tempo a disposizione degli sviluppatori per identificare e correggere le vulnerabilità prima che vengano sfruttate.​

Doppio uso dell’AI per la difesa informatica

Sebbene gli agenti AI mostrino potenti capacità offensive autonome, le stesse tecnologie offrono potenzialità difensive, inclusa la correzione automatica delle vulnerabilità e il rafforzamento dei contratti. Dato l’aumento esponenziale del potenziale di sfruttamento guidato dall’AI, l’adozione precoce di sistemi difensivi alimentati dall’AI nello spazio blockchain è imperativa. Questo cambiamento aiuterà a mitigare i rischi posti da agenti AI incontrollati che possono prendere di mira instancabilmente asset software che vanno dai contratti intelligenti ai tradizionali codebase. La risorsa open-source SCONE-bench fornisce a sviluppatori e team di sicurezza gli strumenti per testare preventivamente la resistenza dei contratti intelligenti contro le nuove minacce AI, in linea con gli sforzi più ampi per tenere il passo con la rapida evoluzione del crimine informatico alimentato dall’AI.​

Nel frattempo, Cocoon, una rete di confidential-compute costruita da un co-fondatore di Telegram su The Open Network ($TON), sfida i giganti tecnologici centralizzati come Amazon e Microsoft per promuovere la libertà digitale e prevenire il controllo dell’AI. Offre servizi AI che preservano la privacy mantenendo i dati degli utenti confidenziali durante l’elaborazione. Questo è facilitato tramite un marketplace dove i proprietari di GPU affittano potenza di calcolo in cambio del token nativo $TON.