Des agents d’IA avancés peuvent désormais trouver et exploiter de façon autonome des vulnérabilités dans des smart contracts blockchain en production, générant des millions en fonds volés simulés, selon de nouvelles recherches d’Anthropic.
Les résultats indiquent une nouvelle phase de cybermenaces pilotées par l’IA, où l’exploitation autonome et lucrative devient techniquement réalisable.
Ce qui s’est passé
Dans un projet récent, des chercheurs ont construit un benchmark de 405 smart contracts réels qui ont été exploités entre 2020 et 2025.
Lors de tests sur des contrats piratés après mars 2025, donc au‑delà des données d’entraînement des modèles, les agents d’IA Claude Opus 4.5, Claude Sonnet 4.5 et GPT-5 ont collectivement mis au point des exploits d’une valeur de 4,6 millions de dollars en simulation.
Le modèle le plus performant, Opus 4.5, a exploité avec succès 50 % de ces contrats récents, correspondant à 4,5 millions de dollars de fonds volés simulés.
Point crucial, la recherche est allée au‑delà des vulnérabilités déjà connues.
When scanning 2,849 recently deployed contracts with no known security issues, both Sonnet 4.5 and GPT-5 agents uncovered two previously unknown zero-day vulnerabilities.
Les agents ont ensuite généré des exploits fonctionnels d’une valeur de 3 694 dollars de revenus simulés, GPT-5 y parvenant pour un coût d’API de 3 476 dollars.
« Les agents ont tous deux mis au jour deux nouvelles vulnérabilités zero‑day et produit des exploits d’une valeur de 3 694 dollars », expliquent les chercheurs, démontrant « à titre de preuve de concept que l’exploitation autonome rentable, dans le monde réel, est techniquement réalisable ».
L’étude révèle une accélération saisissante des capacités. Au cours de l’année écoulée, le revenu total tiré des exploits générés par les modèles d’IA de pointe sur des vulnérabilités récentes a approximativement doublé tous les 1,3 mois.
Cette croissance exponentielle est attribuée à des améliorations des capacités agentiques comme l’usage d’outils, la récupération après erreur et l’exécution de tâches de longue durée.
À lire aussi : XRP Ledger Sees Abnormal Transaction Spike Following Spot ETF Launch With $644M In Net Inflows
Les chercheurs soulignent que les smart contracts offrent un terrain de test unique, car leurs vulnérabilités permettent un vol direct avec un impact financier mesurable.
Étant donné que les exploits de smart contracts et de logiciels traditionnels requièrent des compétences similaires, notamment un raisonnement sur le flot de contrôle et une maîtrise de la programmation, ces résultats suggèrent « une borne inférieure concrète de l’impact économique de leurs capacités cyber plus larges ».
Le rapport coût‑efficacité des attaques pilotées par l’IA est particulièrement préoccupant.
Le coût moyen pour qu’un agent analyse un contrat à la recherche de vulnérabilités n’était que de 1,22 dollar.
Bien que le bénéfice net actuel par exploit reste modeste, les chercheurs notent que « les attaquants pourraient résoudre ce problème en utilisant des heuristiques comme les motifs de bytecode et l’historique de déploiement » afin d’améliorer l’efficacité du ciblage.
En outre, le coût computationnel de génération d’exploits réussis baisse rapidement.
L’analyse des modèles Claude montre une diminution de 70,2 % des coûts en jetons entre Opus 4 et Opus 4.5 en moins de six mois, ce qui signifie que les attaquants peuvent désormais obtenir environ 3,4 fois plus d’exploits réussis pour le même budget de calcul qu’il y a six mois. Les chercheurs ont effectué tous les tests dans des simulateurs blockchain, sans impact sur les actifs du monde réel, afin de prévenir tout dommage potentiel.
Pourquoi c’est important
Ils ont rendu leur benchmark public, faisant valoir que « les attaquants ont déjà de forts incitatifs financiers à développer ces outils de manière indépendante » et que les défenseurs ont besoin d’outils pour tester la robustesse de leurs contrats.
Les implications dépassent la seule sécurité de la blockchain.
Les mêmes capacités qui permettent l’exploitation de smart contracts — raisonnement de longue portée, analyse des limites et usage itératif d’outils — s’appliquent à l’ensemble des systèmes logiciels.
À mesure que les agents d’IA deviennent plus performants et plus rentables, ils représentent une menace émergente pour les logiciels open source comme propriétaires, partout où des actifs numériques de valeur sont en jeu.
À lire ensuite : Retail Investors Stay Passive While Bitcoin Whales Double Exchange Deposits, Research Shows