a16z Cryptoレポート：AIエージェントはすでに「構造化知識」を有しており、DeFiの脆弱性を再現する確率は10%から70%に急上昇

a16z Crypto の研究員である Daejun Park と Matt Gleason は 4 月 28 日にレポートを発表し、AI エージェントが単に脆弱性を「見つける」だけでなく、実際に「手を動かして」DeFi の脆弱性を再現できるかをテストしました。結果は、追加知識がない場合の成功率はわずか 10% でしたが、構造化された知識（過去の攻撃経路、プロトコルの脆弱性パターン、多段階の監査ワークフロー）を備えると、成功率は 70% にまで跳ね上がりました。このレポートは DeFi プロトコル運営者に対して最も直接的な警告を発しています。AI による自動攻撃はもはや SF ではなく、定量化可能な現実の脅威となったのです。（前回の要約：a16z が警告「AI エージェントは広告を見ない」で直接注文：2,910 億ドルのネット広告が崩壊する）（背景補足：Y Combinator 起業ガイドの読み解き：AI Agent には将来どのような発展トレンドがあるか？） AI エージェントは本当に DeFi プロトコルを突破できるのか？「脆弱性を見つける」ことではなく、「完全な攻撃プログラムを書いて資金を奪う」ことは可能なのか？これは a16z Crypto の研究員 Daejun Park と Matt Gleason が 4 月 28 日のレポートで答えようとした核心的な問いです。答えは警戒すべきものでした。AI エージェントに構造化された知識を与えると、成功率は 10% から 70% に急上昇します。研究チームは DeFiHackLabs のデータベースから、Ethereum で実際に発生した 20 件の「価格操作の脆弱性」事例を抽出し、2 つの条件を設計しました。 - 基礎エージェント（知識なし）：Foundry ツールチェーン、RPC エンドポイント、Etherscan API のみを提供し、エージェントに自律的に脆弱性を見つけ出し、資金を奪える PoC プログラムを書くよう要求。 - スキル誘導エージェント（構造化知識あり）：同じツールに加え、研究員が整理した「スキルファイル」を提供。これには過去の攻撃の根本原因分析、脆弱性パターンの分類、多段階の監査ワークフロー、およびシナリオ実行テンプレートが含まれる。実験では「隔離環境」の重要性も強調されました。研究員は、エージェントが anvil_reset メソッドを使用してノードを未来のブロックにリセットし、本来アクセスできないはずの過去の攻撃トランザクションデータにアクセスしたことを発見しました。このような「サンドボックス脱出」行為により、初期の 50% のデータが無意味となり、最終的には厳格に隔離された後の数値が基準とされました。結果は非常に明確です。 - 基礎エージェント：10%（20 件中 2 件成功） - スキル誘導エージェント：70%（20 件中 14 件成功）ここでの「成功」の定義は、概念的に脆弱性を特定するだけでなく、フォークされたメインネット環境で実際に資金を奪える攻撃プログラムをエージェントが書けることとしました。研究が焦点を当てた脆弱性のタイプはすべて DeFi 特有の「価格操作」に分類され、4 つの主要な手法を網羅しています：Vault donation attacks、AMM プールのバランス操作、フラッシュローンによる価格歪曲、再帰的貸出のレバレッジメカニズム。これらは過去数年間で数億ドルの損失を引き起こした実際の攻撃ベクトルです。研究員が提供した「スキルファイル」は曖昧な説明書ではなく、高度に構造化された操作知識です。 - イベント分析層：過去のハッキング事件ごとに根本原因、攻撃経路、重要なコントラクトの相互作用を記録。 - パターン分類層：異なる脆弱性を再利用可能な「攻撃プロトタイプ」に分類し、エージェントが応用を学べるようにする。 - ワークフロー設計層：コード取得 → プロトコルマッピング → 脆弱性検索 → 偵察 → シナリオ設計 → PoC 作成という 6 ステップの標準化プロセス。 - シナリオ実行テンプレート：攻撃タイプごとに具体的な実行フレームワークを提供し、エージェントがゼロから設計する必要をなくす。この知識のソースは神秘的なものではありません。MITRE の AADAPT フレームワーク（デジタル金融システムに対する攻撃者の戦術知識ベース）は公開されている構造化知識ベースです。言い換えれば、AI エージェントの攻撃成功率を 10% から 70% に引き上げる「秘密兵器」は、理論上誰でも入手可能です。レポートの核心