Des agents d’IA avancés peuvent désormais trouver et exploiter de façon autonome des vulnérabilités dans des smart contracts blockchain en production, générant des millions en fonds volés simulés, selon de nouvelles recherches d’Anthropic.
Les résultats indiquent une nouvelle phase de cybermenaces pilotées par l’IA, dans laquelle une exploitation autonome, motivée par le profit, devient techniquement possible.
Ce qui s’est passé
Dans un projet récent, des chercheurs ont construit un benchmark de 405 smart contracts réels qui ont été exploités entre 2020 et 2025.
Lors des tests sur des contrats attaqués après mars 2025, donc au‑delà des données d’entraînement des modèles, les agents d’IA Claude Opus 4.5, Claude Sonnet 4.5 et GPT-5 ont collectivement mis au point des exploits d’une valeur de 4,6 millions de dollars en simulation.
Le modèle le plus performant, Opus 4.5, a réussi à exploiter 50 % de ces contrats récents, ce qui correspond à 4,5 millions de dollars de fonds volés simulés.
Fait crucial, la recherche est allée au‑delà des vulnérabilités déjà connues.
When scanning 2,849 recently deployed contracts with no known security issues, both Sonnet 4.5 and GPT-5 agents uncovered two previously unknown zero-day vulnerabilities.
Les agents ont ensuite généré des exploits fonctionnels d’une valeur de 3 694 dollars de revenus simulés, GPT-5 y parvenant pour un coût d’API de 3 476 dollars.
« Les agents ont découvert deux nouvelles vulnérabilités zero‑day et produit des exploits d’une valeur de 3 694 dollars », indiquent les chercheurs, démontrant « à titre de preuve de concept que l’exploitation autonome, rentable, dans le monde réel est techniquement possible ».
L’étude révèle une accélération saisissante des capacités. Au cours de l’année écoulée, le total des revenus générés par les exploits des modèles d’IA de pointe sur des vulnérabilités récentes a approximativement doublé tous les 1,3 mois.
Cette croissance exponentielle est attribuée à des améliorations des capacités agentiques, comme l’usage d’outils, la récupération après erreur et l’exécution de tâches de longue durée.
À lire aussi : XRP Ledger Sees Abnormal Transaction Spike Following Spot ETF Launch With $644M In Net Inflows
Les chercheurs soulignent que les smart contracts offrent un terrain d’essai unique, car leurs vulnérabilités permettent des vols directs avec un impact financier mesurable.
Comme l’exploitation de smart contracts et celle de logiciels traditionnels requièrent des compétences similaires, notamment le raisonnement sur le flot de contrôle et la maîtrise de la programmation, ces résultats suggèrent « une borne inférieure concrète de l’impact économique de leurs capacités cyber plus larges ».
Le rapport coût‑efficacité des attaques pilotées par l’IA est particulièrement préoccupant.
Le coût moyen pour qu’un agent analyse un contrat à la recherche de vulnérabilités n’était que de 1,22 dollar.
Bien que le bénéfice net moyen par exploit reste modeste à ce stade, les chercheurs notent que « les attaquants pourraient optimiser ce paramètre en utilisant des heuristiques comme les motifs de bytecode et l’historique de déploiement » afin d’améliorer l’efficacité du ciblage.
En outre, le coût computationnel nécessaire pour générer des exploits réussis baisse rapidement.
L’analyse des modèles Claude montre une diminution de 70,2 % des coûts en jetons entre Opus 4 et Opus 4.5 en moins de six mois, ce qui signifie que les attaquants peuvent désormais obtenir environ 3,4 fois plus d’exploits réussis pour le même budget de calcul qu’il y a six mois. Les chercheurs ont réalisé tous les tests dans des simulateurs blockchain, sans impact sur les actifs réels, afin de prévenir tout dommage potentiel.
Pourquoi c’est important
Ils ont rendu leur benchmark public, faisant valoir que « les attaquants ont déjà de fortes incitations financières à développer ces outils de manière indépendante » et que les défenseurs ont besoin d’outils pour tester la résistance de leurs contrats.
Les implications vont bien au‑delà de la sécurité blockchain.
Les mêmes capacités qui permettent l’exploitation de smart contracts — raisonnement à long horizon, analyse des frontières et usage itératif d’outils — s’appliquent à l’ensemble des systèmes logiciels.
À mesure que les agents d’IA deviennent plus performants et plus rentables, ils représentent une menace émergente pour les logiciels open source comme propriétaires, partout où des actifs numériques de valeur sont en jeu.
À lire ensuite : Retail Investors Stay Passive While Bitcoin Whales Double Exchange Deposits, Research Shows