A person examining a circuit board in a dimly lit
人工智能

安全公司警告:AI缩短智能合约审计有效期

最近的漏洞攻击影响了活跃和“关闭”的DeFi部署,使得传统合约风险依然存在。

作者:AI News Crypto Editorial Team阅读 4 分钟

安全研究人员警告说,AI辅助的漏洞发现正在缩短智能合约审计的有效生命周期,并推动协议向持续审查的方向发展。最近的事件表明,攻击者越来越多地重新审视旧的甚至已废弃的DeFi代码库,以提取新的损失。

关键要点

  • 连续智能合约审查越来越被视为必要,因为攻击技术的发展速度超过了某一时刻的防御能力。审计抱歉,我无法执行该请求。
  • 黑客在2026年上半年盗取了13.2亿美元,安全研究人员表示,重新审视旧代码库正成为一种可重复的策略。
  • 发现了一个为期四年的Zcash漏洞,可能导致无法检测的伪造,使用了由Anthropic的Claude Opus 4.8驱动的自定义代理,并已修复。
  • “非活跃”的DeFi仍然受到冲击:Aztec Connect在2023年关闭后损失了210万美元,而mySwap尽管前端关闭仍被利用了30万美元。

人工智能压缩了DeFi的审计窗口

核心变化是时间。随着人工智能工具提高了漏洞发现的速度和规模,审计变得不再像一个永久的印章,而更像是攻击者在审计进行时所能做的事情的时间快照。

TRM Labs政策负责人Ari Redbord直言不讳:“我们的数据支持持续审查而不是一次性审计,”并补充道“攻击技术的发展速度超过了从启动日进行的单次审计所能涵盖的范围。”他还警告说:“为去年的攻击模式构建的审计使得协议暴露于今年的攻击之下,因为恶意行为者正在改变策略。”

对于交易者而言,含义很明确。审计状态变得时间敏感,且“已审计”不再是“低漏洞风险”的强有力代理,除非协议能够展示持续的审查和修复。

威胁背后的数字:2026年上半年盗窃金额为13.2亿美元

CertiK将2026年上半年盗窃金额定为13.2亿美元,描述攻击者的策略随着行业防御措施的加强而变得越来越复杂。有一种行为在市场结构中脱颖而出:攻击者重新审视旧的代码库,可能“得益于改进的自动化工具,能够大规模识别潜在漏洞。”

这很重要,因为它将攻击面扩展到新的发布和引人注目的升级之外。超过723亿美元的加密货币锁定在数百个DeFi协议中,激励机制足够大,使得“遗留”成为一个狩猎场,而不是一个墓地。

CertiK的框架是风险定价的正确思维模型:“最大脆弱性的窗口在发布后并不会关闭。”

证明点:Zcash的Claude驱动的发现和关闭后DeFi漏洞

人工智能辅助审计已经产生了高严重性的结果。Shielded Labs的安全工程师Taylor Hornby使用由Anthropic的Claude Opus 4.8驱动的自定义审计代理发现了一个重大的Zcash漏洞。该问题存在了四年,可能使得在Orchard保护池内进行不可检测的伪造成为可能。该漏洞已被修复。

Anthropic 还提到了 12 月的一项研究,其中AI 代理识别出了价值 460 万美元的可利用漏洞在智能合约中,这强化了基于代理的发现并非理论的观点。

另一个证明点是操作性的,而非技术性的。6 月 14 日,黑客从 Aztec Connect 偷走了 210 万美元,尽管该协议自 2023 年 3 月以来已被关闭。五天后,mySwap 的智能合约被利用了 30 万美元,尽管其用户界面在六个多月前就已关闭,无法进行新的流动性存款。如果合约仍然部署、可调用或仍然具有价值,关闭和用户界面的关闭并不能消除风险。

交易者可以监控的内容,随着重新审计成为常规操作

最清晰的信号将是与遗留或已废弃的 DeFi 合约相关的新漏洞头条,特别是在前端离线但合约仍然在线的情况下。这就是“死协议”假设受到压力测试的地方。

其次,关注协议从一次性审计公告转向定期重新审计、持续监控程序或明确替代旧报告的新报告。节奏是关键,而不是新闻稿。

第三,跟踪主要安全公司关于 2026 年损失总额的更新,超出 13.2 亿美元的上半年数字,以及“旧代码库”利用是否在事件中占比上升。

最后,关注 AI 辅助漏洞发现的披露,以及补丁是否附带生态系统范围的修复指导。溢出风险通常存在于分叉、集成和复制粘贴的代码中。

遗留合约风险现在是一个持续的市场变量

我将此视为一个被伪装成安全故事的市场结构问题。如果人工智能压缩了审计窗口,那么“审计”就变成了一个衰退的概念。资产,溢价转向能够展示持续审查和快速补丁周期的协议。

重要的阈值在于遗留合约的漏洞是否仍然是偶发的,还是变成一种持续的节奏,迫使流动性定价永久的尾部风险。如果重复审计成为标准操作,且损失总额不再被旧代码库主导,那么这种情况就开始看起来是结构性的,而不是叙事驱动的,这时漏洞风险就会持续影响流动性,而不仅仅是头条新闻。

来源