人工智慧工具提升加密貨幣駭客能力，現有安全框架面臨壓力

執行摘要

人工智慧（AI）工具正在顯著增強加密貨幣攻擊者的能力，導致複雜的漏洞利用事件增加，這些事件日益挑戰傳統的安全範式。預計這種演變將加劇市場不確定性和波動性，特別是在新興項目和基礎設施漏洞方面，因為安全事件可能導致投資者信心下降。

事件詳情

先進的人工智慧框架，如PENTESTGPT和HPTSA，正在使複雜的駭客技術大眾化，使攻擊者能夠識別並串聯多個中低級別的常見漏洞和暴露（CVE）以形成關鍵漏洞利用。這些工具促進了對數百萬目標的自主偵察和掃描，從而在前所未有的時間範圍內突破雲基礎設施和軟體供應鏈。報告表明，一個基於大型語言模型（LLM）的框架已展示出利用高達87%常見漏洞的能力。

Immunefi首席執行官Mitchell Amador指出，以前只有安全公司才能使用的AI工具現在已可供拉撒路集團等團體使用，將漏洞發現轉化為近乎即時的利用。這一轉變加速了漏洞從發現到利用的速度。因此，主要加密貨幣駭客攻擊的性質已從針對智能合約缺陷演變為破壞基礎設施和採用社會工程策略。一個顯著的例子是價值14億美元的Bybit駭客攻擊，該攻擊涉及結合社會工程、被盜的亞馬遜網絡服務（AWS）會話令牌、多因素認證（MFA）繞過和被操縱的JavaScript文件的多管齊下攻擊。這一事件凸顯了支持Web3平台的Web2組件的脆弱性。

到2025年中期，Web3平台因駭客攻擊造成的損失已超過31億美元，超過了2024年全年記錄的總損失。這一增長主要由多階段攻擊驅動，這些攻擊將鏈上漏洞與鏈下操縱相結合，不僅針對去中心化金融（DeFi）協議，還針對跨鏈橋、治理系統和錢包基礎設施。

市場影響

這種不斷升級的趨勢表明，加密生態系統中的安全漏洞事件的頻率和嚴重性正在增加，導致受影響協議蒙受巨大的財務損失和聲譽損害。人工智慧驅動攻擊日益複雜以及建立強大安全解決方案的持續挑戰預計將加劇市場不確定性和恐慌，特別是針對新項目和基礎設施漏洞。持續的安全事件可能引發市場不穩定期並侵蝕投資者信心。

監管機構也在適應這種不斷演變的安全威脅。美國證券交易委員會（SEC）2025年的審查重點高度強調新興技術，包括人工智慧、加密貨幣資產、網路安全和供應商風險管理。這表明對公司如何管理這些風險以及如何推廣人工智能驅動工具的審查將增加，重點在於遵守通信法規。目前，訪問控制失敗約佔Web3總價值損失的59%，源於簽名者受損、私鑰洩露和多重簽名配置錯誤。

專家評論

Mitchell Amador表示，傳統的漏洞賞金儘管促成了超過1億美元的支付，但由於“人眼”不足以提供足夠的覆蓋範圍和固有的激勵衝突，正在“達到極限”。他強調，雖然審計是有益的，但它們“遠遠不足以跟上創新速度和攻擊者複合改進的速度”。HackenProof首席執行官Dmytro Matviiv進一步表示，“手動審計將永遠佔有一席之地，但其作用將發生轉變”，因為人工智慧工具在識別“低垂果實”漏洞方面變得越來越有效，從而減少了對常見錯誤進行大量手動審查的需求。

為了應對這些挑戰，Immunefi正在開發直接嵌入到開發人員的GitHub存儲庫和持續集成/持續交付（CI/CD）管道中的人工智慧驅動解決方案。這種主動方法旨在在代碼投入生產之前識別漏洞，Amador預測DeFi駭客攻擊將在一到兩年內“急劇下降”。Immunefi還推出了一款多重簽名安全產品，該產品利用白帽駭客在執行重大交易之前進行手動審查。

更廣闊的背景

應對當前威脅形勢需要一個全面的安全策略，該策略超越了傳統的智能合約審計。這包括強大的多重簽名安全實現、反網路釣魚措施和社區保護計劃。行業的重點已從“優先級問題”轉變為“知識和教育問題”，涉及安全投資的有效資源分配。

2025年有效的防禦需要核心邏輯的不可變設計、驗證器節點和治理系統的操作強化、應對社會工程和欺騙的人為因素安全，以及主動監控以在漏洞利用發生之前檢測異常。美國證券交易委員會期望金融公司為面向客戶的AI應用程序和內部運營系統實施全面的控制、準確的披露和強有力的監督，強調集成網路安全框架在不斷發展的數字資產領域中的日益重要性。