Des agents IA exploitent 4,6 millions de dollars dans des smart contracts blockchain, soulignant l'urgence d'un besoin de défense

Résumé rapide :

• Des recherches récentes révèlent que des agents d’IA peuvent identifier et exploiter de manière autonome des vulnérabilités dans les smart contracts blockchain.
• Les agents ont également découvert de nouvelles vulnérabilités zero-day dans des contrats récemment déployés, prouvant que l’exploitation autonome dans le monde réel est réalisable. 
• Cette avancée met en lumière l’escalade rapide des menaces cyber alimentées par l’IA et la nécessité pressante de stratégies défensives proactives utilisant des outils d’IA.

Les modèles d’IA exploitent les vulnérabilités des smart contracts Blockchain

Des recherches récentes présentent SCONE-bench, un ensemble de référence composé de 405 smart contracts réels exploités entre 2020 et 2025, évaluant la capacité des agents d’IA à découvrir et exploiter des vulnérabilités. 

Les principaux modèles d’IA, dont Claude Opus 4.5, Claude Sonnet 4.5 et GPT-5, ont généré des exploits d’une valeur de 4,6 millions de dollars sur des contrats exploités après leur date de connaissance en mars 2025. Cela démontre le potentiel croissant de l’IA pour des opérations offensives dans les écosystèmes blockchain. 

Au-delà de l’analyse rétrospective, le test de 2 849 contrats nouvellement déployés a révélé deux nouvelles vulnérabilités zero-day, exploitées pour simuler des gains de 3 694 dollars. Cela confirme que l’IA peut découvrir et exploiter de manière autonome des vulnérabilités jusqu’alors inconnues, soulignant le risque cyber croissant posé par des agents d’IA avancés.​

Impact économique et perspectives techniques

Le benchmark quantifie les capacités cyber de l’IA en termes monétaires directs plutôt qu’en taux de réussite traditionnels, en se concentrant sur l’impact économique des exploits, une métrique essentielle pour les parties prenantes de la sécurité. 

Par exemple, un modèle d’IA a extrait 3,5 millions de dollars en fonds simulés volés à partir d’une seule vulnérabilité, surpassant largement d’autres modèles ayant détecté la même faille mais exploité une valeur moindre. Au cours de l’année écoulée, les revenus issus des exploits ont doublé environ tous les 1,3 mois, stimulés par les progrès de l’IA dans l’utilisation d’outils, la planification à long terme et la récupération d’erreurs. Fait intéressant, la complexité du code n’était pas corrélée à la rentabilité des exploits ; ce sont plutôt les actifs détenus dans les contrats vulnérables qui déterminaient l’impact financier. Le coût d’utilisation de l’IA pour analyser les contrats a également fortement chuté, les évaluations coûtant en moyenne seulement 1,22 dollar par contrat. Ces dynamiques réduisent drastiquement le délai dont disposent les développeurs pour identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées.​

Double usage de l’IA pour la cyberdéfense

Si les agents d’IA démontrent de puissantes capacités offensives autonomes, ces mêmes technologies sont prometteuses pour la défense, notamment pour le patching automatisé des vulnérabilités et le renforcement des contrats. Compte tenu de l’augmentation exponentielle du potentiel d’exploitation par l’IA, l’adoption précoce de systèmes de défense alimentés par l’IA dans l’écosystème blockchain est impérative. Ce changement aidera à atténuer les risques posés par des agents d’IA incontrôlés capables de cibler sans relâche des actifs logiciels allant des smart contracts aux bases de code traditionnelles. La ressource open source SCONE-bench permet aux développeurs et aux équipes de sécurité de tester de manière proactive la résistance des smart contracts face aux menaces émergentes de l’IA, s’inscrivant dans des efforts plus larges pour suivre l’évolution rapide de la cybercriminalité alimentée par l’IA.​

Pendant ce temps, Cocoon, un réseau de calcul confidentiel construit par un cofondateur de Telegram sur The Open Network ($TON), défie les géants technologiques centralisés comme Amazon et Microsoft pour défendre la liberté numérique et empêcher le contrôle de l’IA. Il propose des services d’IA préservant la confidentialité, garantissant la confidentialité des données des utilisateurs pendant le calcul. Ceci est facilité par une place de marché où les propriétaires de GPU louent leur puissance de calcul contre le token natif $TON.