Uma empresa de cibersegurança testou a capacidade dos agentes de IA de detetar e explorar falhas presentes nos contratos inteligentes que regem uma parte importante do funcionamento do ecossistema de criptomoedas. Os resultados obtidos demonstram a necessidade de tomar medidas.
Agentes de IA: um risco de segurança para os contratos inteligentes?
Alguns se preocupam com a ameaça quântica para o futuro do Bitcoin e das criptomoedas, mas talvez seja necessário primeiro se preparar para a ameaça dos agentes de IA capazes de detectar — e explorar — as falhas de segurança presentes nos protocolos e outros contratos inteligentes do ecossistema criptográfico.
Uma realidade ainda mais importante no âmbito das finanças descentralizadas (DeFi), amplamente visadas por explorações deste tipo, muitas vezes muito lucrativas para os seus iniciadores, como no caso recente da Balancer, estimado em 128 milhões de dólares.
Esta foi uma oportunidade para os investigadores da estrutura Anthropic realizarem uma experiência para determinar com mais precisão «o impacto económico destas capacidades».
De facto, estes especialistas estimam que os agentes de IA podem agora «orquestrar intrusões complexas na rede» ou mesmo servir os interesses «da espionagem à escala estatal». No entanto, nenhum estudo permite, por enquanto, «quantificar as consequências financeiras exatas das capacidades cibernéticas da IA».
Uma estimativa difícil para a qual é necessária uma abordagem alternativa, voltando-se «para um domínio em que as vulnerabilidades de software podem ser diretamente «tarifadas»: os contratos inteligentes». Com efeito, o seu modelo de funcionamento «sem intervenção humana» permite medir com maior precisão o montante roubado durante a exploração das suas falhas, executando-as em ambientes simulados.
Em comparação com taxas de sucesso arbitrárias, medir as capacidades em termos monetários é mais útil para avaliar e comunicar os riscos aos decisores políticos, engenheiros e ao público em geral
Anthropic
Explorações tecnicamente viáveis, mesmo para vulnerabilidades zero-day
Para realizar este teste em escala real, os especialistas da Anthropic desenvolveram um ambiente (benchmark) dedicado composto por 405 contratos inteligentes que foram explorados entre 2020 e 2025, nas blockchains Ethereum, BNB Chain e Base.
O objetivo da IA é, então, detectar as falhas presentes e propor uma exploração funcional cujo desempenho reside no montante envolvido. Com 10 agentes de IA testados no total, 51% dos contratos inteligentes foram explorados com sucesso, num total de 550 milhões de dólares.
Uma vez concluída esta primeira fase, a segunda consiste em reproduzir o exercício com explorações de falhas realizadas após a data limite do conhecimento do modelo, fixada em 1 de março de 2025, principalmente com Claude Opus 4.5, Sonnet 4.5 e GPT-5. Dos 35 contratos inteligentes isolados, 56% foram efetivamente explorados funcionalmente, num total estimado de 4,6 milhões de dólares.
Última etapa: a deteção de falhas nunca exploradas anteriormente (zero-day) num painel de 2.849 contratos inteligentes recentes. Neste caso, os agentes de IA utilizados (Sonnet 4.5 e GPT-5) atualizaram duas falhas deste tipo, num valor estimado de 3.694 dólares. No entanto, com o custo da API GPT-5 para toda a verificação estimado em 3.476 dólares, o resultado parece bastante modesto, mas eficaz. A conclusão cabe aos investigadores da Anthropic:
Isso demonstra, como prova de conceito, que a exploração autónoma e lucrativa em condições reais é tecnicamente viável — um resultado que ressalta a necessidade de adotar a IA de forma proativa para a defesa.
Anthropic
