a16z Crypto報告：AI代理已有「結構化知識」，複現DeFi漏洞機率從10%飆至70%

a16z Crypto 研究員 Daejun Park 與 Matt Gleason 於 4 月 28 日發布報告，測試 AI 代理能否真正「動手」複現 DeFi 漏洞——而不只是「找到」漏洞。結果顯示：沒有額外知識時成功率僅 10%，但一旦配備結構化知識（歷史攻擊路徑、協議漏洞模式、多步稽核工作流），成功率直接跳到 70%。這份報告給 DeFi 協議方發出最直接的警告：AI 自動化攻擊已不再是科幻，而是可量化的現實威脅。（前情提要：a16z 警告「AI代理不看廣告」會直接下單：2910億美元網路廣告將毀滅）（背景補充：Y Combinator 創業指南解讀：AI Agent 在未來有哪些發展趨勢？） AI 代理能不能真的打穿一個 DeFi 協議？不是「找到漏洞」，而是「寫出完整的攻擊程式並套現」？這是 a16z Crypto 研究員 Daejun Park 與 Matt Gleason 在 4 月 28 日這篇報告想回答的核心問題。答案令人警惕：給 AI 代理結構化知識，成功率從 10% 飆到 70%。研究團隊從 DeFiHackLabs 資料庫中抽出 20 個以太坊真實發生過的「價格操縱漏洞」事件，設計了兩種條件： - 基礎代理（無知識）：只給 Foundry 工具鏈、RPC 端點、Etherscan API，要求代理自主找出漏洞並寫出可套現的概念驗證（PoC）程式 - 技能引導代理（有結構化知識）：同樣工具，額外提供研究員整理的「技能檔案」，包含歷史攻擊根本原因分析、漏洞模式分類、多步稽核工作流、以及場景執行模板實驗還特別強調：測試環境必須是「隔離環境」。研究員發現代理有一次透過 anvil_reset 方法重置節點至未來區塊，藉此存取原本受限的歷史攻擊交易資料——這種「沙盒逃逸」行為讓初期 50% 的資料失去意義，最終以嚴格隔離後的數字為準。結果非常明確： - 基礎代理：10%（20 案例中成功 2 個） - 技能引導代理：70%（20 案例中成功 14 個）這裡的「成功」定義是：代理能寫出可在分叉主網環境中實際套現的攻擊程式，不只是概念上識別出漏洞。研究聚焦的漏洞型別全部屬於 DeFi 特有的「價格操縱」類別，涵蓋四種主要手法：保險庫捐贈攻擊（vault donation attacks）、AMM 池平衡操縱、閃電貸價格扭曲、遞迴借貸槓桿機制。這些都是過去幾年造成數億美元損失的真實攻擊向量。研究員提供的「技能檔案」不是一份模糊的說明書，而是高度結構化的操作知識： - 事件分析層：針對歷史駭客事件逐一記錄根本原因、攻擊路徑、關鍵合約互動 - 模式分類層：將不同漏洞歸類成可重用的「攻擊原型」，讓代理學會舉一反三 - 工作流設計層：程式碼獲取 → 協議對映 → 漏洞搜尋 → 偵察 → 場景設計 → PoC 撰寫，六步驟標準化流程 - 場景執行模板：每種攻擊型別提供具體的執行框架，讓代理不必從零設計這種知識的來源並不神秘。MITRE 的 AADAPT 框架（針對數位金融系統的攻擊者戰術知識庫）就是一個公開的結構化知識庫。換句話說，讓 AI 代理攻擊成功率從 10% 跳到 70% 的「秘密武器」，理論上任何人都能取得。報告的核心洞察是：「識別漏洞」和「構建可用的漏洞利用程式」是質量上不同的兩種能力。 Park 與 Gleason 指出，即使在「幾乎給了完整答案」的測試條件下，代理仍在複雜的多步攻擊上失敗——這說明瓶頸不在「知識」，而在「執行複雜性」，特別是需要跨多個合約、多次交易才能完成的攻擊。但這個結論有個不容忽略的另一面：70% 已是極高的成功率，而且這只是 2026 年 4 月的技術水準。隨著推理模型能力提升、結構化知識庫（如 MITRE AADAPT、Anthropic 的 SCONE-bench 405 個真實案例）日益豐富，這個數字只會往上走。