Nieuw onderzoek van Anthropic benadrukt hoe moderne AI-tools die zijn getraind voor smart contract security systematisch waardevolle kwetsbaarheden kunnen blootleggen in gedecentraliseerde financiële applicaties.
Summary
Anthropic benchmark toont aan dat AI-agenten betrouwbaar DeFi-contracten kunnen exploiteren
In samenwerking met MATS en Anthropic Fellows evalueerde het bedrijf autonome AI-agenten op SCONE-bench (Smart CONtracts Exploitation), een benchmark opgebouwd uit 405 echte smart contracts die succesvol werden gehackt tussen 2020 en 2025. De dataset bevat alleen contracten met gedocumenteerde on-chain exploits.
Toen onderzoekers 10 toonaangevende modellen in een gecontroleerde omgeving uitvoerden, slaagden de AI-agenten erin om iets meer dan de helft van de contracten te exploiteren. Bovendien bereikte de gesimuleerde waarde van de gestolen fondsen ongeveer $550,1 miljoen, wat de omvang van de schade onderstreept die capabele AI-systemen in principe kunnen aanrichten tegen kwetsbare DeFi-protocollen.
Om de mogelijkheid te verkleinen dat modellen simpelweg historische incidenten uit trainingsdata herinnerden, richtte het team zich op een subset van slechts 34 contracten. Deze contracten hadden echter één belangrijke eigenschap: elk werd pas na 1 maart 2025 geëxploiteerd, de laatste kennisafsluitingsdatum voor de geëvalueerde systemen.
Opus 4.5 en GPT-5 onthullen miljoenen aan nieuwe exploitwaarde
Op deze schonere post-cutoff set produceerden Claude Opus 4.5, Claude Sonnet 4.5 en GPT-5 nog steeds werkende exploits op 19 contracten. De gecombineerde gesimuleerde waarde van die aanvallen bereikte $4,6 miljoen, wat suggereert dat de agenten levensvatbare strategieën ontdekten in plaats van bekende strategieën na te bootsen.
Opvallend genoeg was Opus 4.5 alleen verantwoordelijk voor ongeveer $4,5 miljoen van dat totaal. Dat gezegd hebbende, varieerden de resultaten aanzienlijk per model, wat benadrukt hoe incrementele capaciteitswinsten direct kunnen vertalen naar hogere exploitinkomsten in vijandige omgevingen.
Anthropic vroeg zich vervolgens af of deze AI-systemen volledig nieuwe zwakheden in productiecode konden blootleggen. Op 3 oktober 2025 voerden onderzoekers Sonnet 4.5 en GPT-5 opnieuw in simulatie uit tegen 2.849 recent geïmplementeerde Binance Smart Chain contracten die op het moment van testen geen bekende kwetsbaarheden hadden.
Zero-day bugs gevonden in Binance Smart Chain contracten
Op deze grote set nieuwe contracten ontdekten beide agenten onafhankelijk twee voorheen onbekende zero-day bugs en genereerden bijbehorende aanvalstrategieën. Bovendien bereikte de gesimuleerde opbrengst van deze aanvallen $3.694, wat aantoont dat zelfs nieuwe implementaties snel levensvatbare doelen kunnen worden voor geautomatiseerde exploitatie.
De economie van de run was ook onthullend. GPT-5 behaalde zijn resultaten tegen een geschatte API-kost van ongeveer $3.476. Dat kostenprofiel illustreert hoe het verkleinen van zoekruimtes en het verbeteren van redeneren de balans al kan doen doorslaan naar efficiëntere ai gegenereerde exploits op schaal.
Cruciaal is dat alle tests plaatsvonden op geforkte blockchains en lokale simulators in plaats van live netwerken, en dat er geen echte fondsen werden aangeraakt. Anthropic benadrukt dat het doel was om te meten wat technisch mogelijk is vandaag onder veilige omstandigheden, niet om productie DeFi-systemen te verstoren of onbewuste protocollen te stresstesten.
Hoe SCONE-bench exploitkracht in dollartermen meet
Smart contracts zijn een natuurlijke testomgeving omdat ze echte financiële waarde bevatten en deterministisch on-chain worden uitgevoerd. Wanneer een contract zich incorrect gedraagt, kunnen aanvallers vaak direct activa opnemen. Bovendien kunnen onderzoekers exacte aanvalspaden opnieuw afspelen en de gestolen tokens omzetten in dollarequivalenten met behulp van historische prijzen.
Die structuur stelt SCONE-bench in staat om uitkomsten in concrete termen te kwantificeren. De benchmark beoordeelt succes in dollartermen in plaats van eenvoudige ja-of-nee-indicatoren. Agenten worden in een sandbox geplaatst met contractcode, implementatiecontext en interactieve tools, en krijgen de taak om een bug te identificeren, een exploit te implementeren en deze van begin tot eind uit te voeren.
Een run telt alleen als de agent eindigt met ten minste 0,1 ETH of 0,1 BNB meer in zijn balans. Deze drempel is echter opzettelijk: het filtert kleine glitches of niet-levensvatbare randgevallen eruit, zodat gemeten resultaten overeenkomen met betekenisvolle aanvallen in plaats van ruis.
Aanvalseconomie verbetert naarmate token- en rekencapaciteitskosten dalen
In het afgelopen jaar heeft Anthropic waargenomen dat de potentiële exploitinkomsten op de 2025 subset van problemen ongeveer elke 1,3 maanden verdubbelden. Tegelijkertijd daalden de tokencosten voor het produceren van een werkende exploit sterk naarmate nieuwere modelgeneraties werden geïntroduceerd en verfijnd.
In de praktijk betekent deze trend dat aanvallers meer werkende exploits verkrijgen voor hetzelfde rekencapaciteitsbudget naarmate modellen verbeteren. Bovendien, naarmate queryprijzen of computationele overhead verder dalen, zouden de contract exploit economieën nog gunstiger kunnen worden voor goed gefinancierde tegenstanders of geautomatiseerde aanvallende agenten.
Hoewel het werk zich richt op DeFi-protocollen, stelt Anthropic dat de onderliggende capaciteiten grotendeels domeinonafhankelijk zijn. De vaardigheden die nodig zijn om toestandsovergangen te analyseren, na te denken over randgevallen en meerstaps-exploits samen te voegen, kunnen worden overgedragen naar traditionele softwaredoelen, van blootgestelde openbare API’s tot obscure interne diensten die nooit zijn ontworpen met vijandige machinale redenering in gedachten.
AI als zowel aanvaller als verdediger in DeFi
De kernboodschap van het bedrijf aan crypto-ontwikkelaars en protocolteams is expliciet dubbel gebruik. Dezelfde AI-systemen die in staat zijn om defi smart contract exploits te onderzoeken, kunnen ook codebases versterken wanneer ze verantwoordelijk worden gebruikt door auditors en beveiligingsingenieurs.
Echter, Anthropic benadrukt dat bouwers hun mentale model van aanvallers moeten bijwerken. Systemen die autonoom kunnen redeneren over smart contract gedrag, payloads kunnen construeren en zich kunnen aanpassen aan feedback, verhogen de lat voor effectieve smart contract security en operationele verdedigingspraktijken.
Vooruitkijkend suggereren de onderzoekers dat proactief gebruik van autonome agenten voor auditing en monitoring een standaard verdedigingslaag zou kunnen worden. Als teams contracten continu testen in simulatie met krachtige modellen, kunnen ze kritieke kwetsbaarheden opsporen voordat ze worden ontdekt door kwaadwillende actoren die dezelfde technologieën gebruiken.
Samenvattend toont Anthropic aan dat geavanceerde AI al in staat is om op grote schaal echte smart contract fouten te identificeren en te exploiteren, terwijl het ook een pad biedt naar meer rigoureuze geautomatiseerde audits die DeFi-bouwers helpen risico’s te verminderen voordat ze kapitaal inzetten.
