Introducción
Los agentes de inteligencia artificial (IA) han igualado el rendimiento de atacantes humanos capacitados en más de la mitad de las explotaciones de contratos inteligentes registradas en las principales blockchains durante los últimos cinco años, según nuevos datos publicados por Anthropic.
Resultados del Estudio
Esta empresa evaluó diez modelos de vanguardia, incluidos Llama 3, Sonnet 3.7, Opus 4, GPT-5 y DeepSeek V3, en un conjunto de datos de 405 explotaciones históricas de contratos inteligentes. Los agentes produjeron ataques funcionales contra 207 de ellos, totalizando 550 millones de dólares en fondos simulados robados.
Los hallazgos evidencian cuán rápidamente los sistemas automatizados pueden aprovechar vulnerabilidades e identificar nuevas que los desarrolladores no han abordado. Esta divulgación es la más reciente del desarrollador de Claude AI.
Uso de IA en Ciberataques
«La IA ya se está utilizando en herramientas de gestión de seguridad de aplicaciones (ASPM) como Wiz Code y Apiiro, así como en escáneres estándar SAST y DAST»
comentó David Schwed, COO de SovereignAI, a Decrypt. «Esto significa que los actores maliciosos utilizarán la misma tecnología para identificar vulnerabilidades.»
Schwed añadió que los ataques impulsados por modelos descritos en el informe serían sencillos de escalar, ya que muchas vulnerabilidades ya están públicamente divulgadas a través de Vulnerabilidades y Exposiciones Comunes (CVE) o informes de auditoría.
Medición de Capacidades
Para medir las capacidades actuales, Anthropic trazó los ingresos totales por explotación de cada modelo contra su fecha de lanzamiento, utilizando solo los 34 contratos explotados después de marzo de 2025. «Aunque los ingresos totales por explotación son una métrica imperfecta, lo destacamos sobre la tasa de éxito de ataque porque a los atacantes les importa cuánto dinero pueden extraer los agentes de IA».
Anthropic reportó que Claude Sonnet 4.5 y GPT-5 descubrieron cada uno dos fallas no divulgadas que produjeron 3,694 dólares en valor simulado. La empresa destacó que todas las pruebas se realizaron en entornos aislados que replicaban blockchains.
Implicaciones de Seguridad
Anthropic advirtió que las capacidades que permitieron a los agentes explotar contratos inteligentes también se aplican a otros tipos de software, y que la caída de costos reducirá la ventana entre el despliegue y la explotación. La empresa instó a los desarrolladores a adoptar herramientas automatizadas en sus flujos de trabajo de seguridad.
«Siempre me opongo al pesimismo y digo que con controles adecuados, pruebas internas rigurosas, junto con monitoreo en tiempo real y cortacircuitos, la mayoría de estos problemas son evitables»
afirmó Schwed. «Los buenos actores tienen el mismo acceso a los mismos agentes. Así que si los actores maliciosos pueden encontrarlo, los buenos actores también pueden. Tenemos que pensar y actuar de manera diferente.»
