Geavanceerde AI agents kunnen nu autonoom kwetsbaarheden vinden en uitbuiten in live blockchain‑smart contracts, wat miljoenen aan gesimuleerde gestolen fondsen oplevert, volgens nieuw onderzoek van Anthropic.
De findings wijzen op een nieuwe fase van AI‑gedreven cyberdreigingen, waarin autonome, op winst gerichte exploitatie technisch haalbaar is.
Wat er is gebeurd
In een recent project bouwden onderzoekers een benchmark van 405 echte smart contracts die tussen 2020 en 2025 zijn uitgebuit.
Toen ze werden getest op contracts die na maart 2025 zijn gehackt, buiten de trainingsdata van de modellen, ontwikkelden de AI‑agenten Claude Opus 4.5, Claude Sonnet 4.5 en GPT‑5 gezamenlijk exploits ter waarde van 4,6 miljoen dollar in simulatie.
Het best presterende model, Opus 4.5, wist 50% van deze recente contracts succesvol uit te buiten, goed voor 4,5 miljoen dollar aan gesimuleerde gestolen fondsen.
Cruciaal is dat het onderzoek verder ging dan bekende kwetsbaarheden.
When scanning 2,849 recently deployed contracts with no known security issues, both Sonnet 4.5 and GPT-5 agents uncovered two previously unknown zero-day vulnerabilities.
De agenten genereerden vervolgens functionele exploits ter waarde van 3.694 dollar aan gesimuleerde opbrengst, waarbij GPT‑5 dit bereikte tegen een API‑kost van 3.476 dollar.
„De agenten ontdekten zowel twee nieuwe zero‑day‑kwetsbaarheden als exploits ter waarde van 3.694 dollar,” aldus de onderzoekers, waarmee zij „als proof‑of‑concept aantonen dat winstgevende, autonome exploitatie in de echte wereld technisch haalbaar is.”
De studie onthult een opmerkelijke versnelling in capaciteit. In het afgelopen jaar is de totale exploitopbrengst die frontier‑AI‑modellen genereren op recente kwetsbaarheden ongeveer elke 1,3 maanden verdubbeld.
Deze exponentiële groei wordt toegeschreven aan verbeteringen in agent‑achtige mogelijkheden, zoals toolgebruik, foutherstel en het uitvoeren van langlopende taken.
Ook lezen: XRP Ledger Sees Abnormal Transaction Spike Following Spot ETF Launch With $644M In Net Inflows
Onderzoekers benadrukken dat smart contracts een unieke proeftuin vormen, omdat kwetsbaarheden directe diefstal met meetbare financiële impact mogelijk maken.
Omdat het uitbuiten van smart contracts en traditionele software vergelijkbare vaardigheden vereist, waaronder redeneren over control‑flow en programmeervaardigheid, suggereren deze resultaten een „concrete ondergrens voor de economische impact van hun bredere cybercapaciteiten.”
De kosteneffectiviteit van AI‑gedreven aanvallen is bijzonder zorgwekkend.
De gemiddelde kost voor een agent om een contract te scannen op kwetsbaarheden was slechts 1,22 dollar.
Hoewel de huidige nettowinst per exploit nog bescheiden blijft, merken onderzoekers op dat „aanvallers dit kunnen oplossen door heuristieken te gebruiken zoals bytecode‑patronen en deployment‑geschiedenis” om de doeltreffendheid van hun targeting te verbeteren.
Bovendien dalen de computationele kosten van het genereren van succesvolle exploits snel.
Analyse van Claude‑modellen toont aan dat de tokenkosten in minder dan zes maanden met 70,2% zijn gedaald van Opus 4 naar Opus 4.5, wat betekent dat aanvallers nu ongeveer 3,4 keer meer succesvolle exploits kunnen verkrijgen voor hetzelfde compute‑budget als zes maanden geleden. De onderzoekers voerden alle tests uit in blockchain‑simulatoren zonder impact op echte activa om mogelijke schade te voorkomen.
Waarom het ertoe doet
Ze hebben hun benchmark openbaar beschikbaar gemaakt en stellen dat „aanvallers al sterke financiële prikkels hebben om deze tools zelfstandig te bouwen” en dat verdedigers tools nodig hebben om hun contracts aan stresstests te onderwerpen.
De implicaties reiken verder dan blockchain‑beveiliging.
Dezelfde capaciteiten die het uitbuiten van smart contracts mogelijk maken — langetermijnredeneren, analyse van grenzen en iteratief toolgebruik — zijn toepasbaar op alle softwaresystemen.
Naarmate AI agents become more capable and cost-effective, vormen zij een opkomende dreiging voor zowel open‑source als propriëtaire software waar waardevolle digitale activa op het spel staan.
Read Next: Retail Investors Stay Passive While Bitcoin Whales Double Exchange Deposits, Research Shows