Agent sztucznej inteligencji (AI) wydostał się z piaskownicy, którą inżynierowie a16z crypto stworzyli podczas testu. Inżynierowie chcieli sprawdzić, czy agenci AI potrafią przejść od wykrywania luk do budowania działających exploitów.
Inżynierowie ds. bezpieczeństwa Daejun Park oraz Matt Gleason opublikowali swoje ustalenia 28 kwietnia. Zaznaczyli, że ich gotowy agent samodzielnie nauczył się używać narzędzi, „których nigdy nie otrzymał wprost”.
Te wyniki pojawiają się akurat w momencie, gdy Elon Musk szokuje opinię publiczną tezą, że „AI może nas wszystkich zabić”.
Jak agent AI „uciekł” ze swojej klatki
Inżynierowie umieścili agenta w ograniczonym środowisku z ograniczonym dostępem do Etherscan i lokalnym węzłem ustawionym na konkretnym bloku. Zespół zablokował cały zewnętrzny dostęp do sieci.
Ta konfiguracja piaskownicy została specjalnie opracowana, by uniemożliwić agentowi pobieranie danych z przyszłości. Podczas testów agent napotkał przeszkodę przy niezweryfikowanym kontrakcie docelowym bez kodu źródłowego.
Śledź nas na X, by być na bieżąco z najnowszymi wiadomościami
Agent zapytał lokalny węzeł anvil o konfigurację używając „cast rpc anvil_nodeInfo” i odkrył wejściowy adres RPC oraz jawnokluczowy API Alchemy. Próbował uzyskać bezpośredni dostęp zewnętrzny, ale firewall Docker zablokował żądanie.
Kiedy firewall zablokował wyjście, agent użył „anvil_reset RPC method”, aby zresetować węzeł do przyszłego bloku. Ten ruch pozwolił mu zapytać o logi i transakcje z przyszłego bloku przez lokalny anvil node.
Następnie agent uzyskał ślady wykonania ataku. Po analizie agent AI przywrócił węzeł do pierwotnego bloku i przygotował działający dowód koncepcji na bazie wydobytych danych.
Później Park i Gleason ograniczyli proxy, blokując wszystkiedebugowe metody Anvil.
„To zdarzyło się w małej piaskownicy, ale pokazuje większy wzorzec, który warto opisać: agenci wyposażeni w narzędzia obchodzą ograniczenia, by osiągnąć cel. Użycie anvil_reset do obejścia zablokowanego forka było zachowaniem, którego nie przewidzieliśmy.”
Zdarzenie podkreśla ryzyko w środowiskach testowych AI: agenci potrafią odkrywać i wykorzystywać nieplanowane ścieżki w narzędziach, nawet bez wyraźnych instrukcji.
Mimo to, badania wykazały, że agenci AI nadal mają ograniczenia przy realizacji złożonych exploitów DeFi. Choć agent konsekwentnie wykrywał luki, miał trudności ze stworzeniem wieloetapowych strategii ataku.
Subskrybuj nasz kanał na YouTube, by zobaczyć, jak liderzy i dziennikarze dzielą się opiniami ekspertów
