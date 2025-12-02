Une société de cybersécurité a testé la capacité des agents IA à détecter et à exploiter des failles présentes dans les smart contracts qui régissent une part importante du fonctionnement de l’écosystème crypto. Les résultats obtenus démontrent la nécessité de prendre des dispositions.

Agents IA : un risque de sécurité pour les smart contracts ?

Certains s'inquiètent de la menace quantique pour l'avenir du Bitcoin et des cryptomonnaies, mais il faudrait peut-être auparavant se préparer à celle des agents IA en capacité de détecter — et d'exploiter — les failles de sécurité présentes dans les protocoles et autres smart contracts de l'écosystème crypto.

Une réalité d'autant plus importante au sein de la finance décentralisée (DeFi) largement visée par des exploitations de ce type souvent très rentables pour leurs initiateurs, comme dans le récent cas de Balancer estimé à 128 millions de dollars.

L'occasion pour les chercheurs de la structure Anthropic de mener une expérience afin de déterminer plus précisément « l’impact économique de ces capacités ».

En effet, ces spécialistes estiment que les agents IA peuvent désormais « orchestrer des intrusions réseau complexes » ou même servir les intérêts « de l’espionnage à l’échelle étatique ». Toutefois, aucune étude ne permet pour le moment de « quantifier les conséquences financières exactes des capacités cyber de l’IA ».

Une estimation difficile pour laquelle une approche alternative s'impose, en se tournant « vers un domaine où les vulnérabilités logicielles peuvent être directement « tarifées » : les smart contracts ». En effet, leur modèle de fonctionnement « sans humain dans la boucle » permet de mesurer plus précisément le montant dérobé lors de l'exploitation de leurs failles, en les exécutant dans des environnements simulés.

Comparé à des taux de réussite arbitraires, mesurer les capacités en termes monétaires est plus utile pour évaluer et communiquer les risques aux décideurs politiques, aux ingénieurs et au grand public Anthropic

Des exploitations techniquement faisables même pour des failles zero-day

Afin de mener ce test grandeur nature, les spécialistes d'Anthropic ont développé un environnement (benchmark) dédié composé de 405 smart contracts ayant subi une exploitation entre 2020 et 2025, sur les blockchains Ethereum, BNB Chain et Base.

Le but de l'IA consiste alors à détecter les failles présentes et à proposer une exploitation fonctionnelle dont la performance réside dans le montant impliqué. Avec 10 agents IA testés au total, 51 % des smart contracts ont été exploités avec succès, pour un total de 550 millions de dollars.

Une fois cette première phase opérée, la seconde consiste à reproduire l'exercice avec des exploitations de faille opérées après la date limite des connaissances du modèle, fixée au 1er mars 2025, principalement avec Claude Opus 4.5, Sonnet 4.5 et GPT-5. Sur les 35 smart contracts isolés, 56 % ont effectivement subi une exploitation fonctionnelle, pour un total estimé à 4,6 millions de dollars.

Revenu total provenant de l'exploitation des failles post-mars 2025

Dernière étape : la détection de failles jamais exploitées auparavant (zero-day) sur un panel de 2 849 smart contracts récents. Dans ce cas de figure, les agents IA utilisés (Sonnet 4.5 et GPT-5) ont mis à jour 2 failles de ce type pour un montant évalué à 3 694 dollars. Toutefois, avec le coût API GPT-5 pour tout le scan, estimé à 3 476 dollars, le bilan apparaît comme assez maigre, mais effectif.

La conclusion revient aux chercheurs d'Anthropic :

Cela démontre, comme preuve de concept, que l’exploitation autonome et profitable en conditions réelles est techniquement faisable — un résultat qui souligne la nécessité d’adopter l’IA de manière proactive pour la défense. Anthropic

Source : Anthropic

