新聞 
幣種資訊 
關於我們 
根據 Cointelegraph 的報導,於 13 日(當地時間),「人工智慧(AI) 正在重新改寫去中心化金融(DeFi)安全版圖」的爭論升溫。隨著 AI 更快速鎖定智慧合約漏洞,*DeFi* 安全風險究竟是「被放大」,還是「正在被 AI 防禦工具抵消」,成為業界焦點。有人認為 *DeFi* 結構性風險因 *AI* 而升級,也有人主張必須用 *AI* 來打造新一代防禦體系。
根據報導,區塊鏈安全平台 *OpenZeppelin* 創辦人馬努埃爾·阿拉奧斯(Manuel Araoz)近期在社群平台 *X* 上直言,「所有 *DeFi* 都不安全」。他指出,*AI 程式碼代理人* 正以愈來愈高的效率,搜尋並利用智慧合約中的弱點,讓既有的審計與測試流程顯得相對落後。*評論:這類說法雖然聽來偏激,但反映出開發者社群對 AI 工具門檻下降後,攻擊面被「自動化掃描」的擔憂。*
這番警告出現的時間點,也與近期頻繁發生的 *DeFi* 攻擊事件重疊。4 月單月多起安全事故,已造成自 2023 年 2 月以來規模最大的加密資產損失,一部分鏈上分析與安全社群成員,開始將這波攻擊潮與「*代理型 AI(Agentic AI)*」的擴散聯繫起來。不過,社群對於關鍵成因並未形成共識:另一派則認為,真正的主因並非智慧合約邏輯本身,而是專案運營流程混亂、權限管理鬆散、私鑰遭竊及社交工程攻擊等「人為操作層」風險。*評論:這也凸顯 DeFi 風險早已超出程式碼本身,治理與內控不足同樣是致命缺陷。*
根據區塊鏈安全公司 *SlowMist*(慢霧科技)創辦人余弦的說法,*AI* 帶來的是「雙重強化」的威脅。他指出,一方面,善用 *AI* 的駭客可以更快生成惡意程式或針對特定協議進行自動化測試;另一方面,擅長社交工程的有組織攻擊團隊,也能依賴 *AI* 生成更具說服力的釣魚訊息與假介面。余弦認為,*DeFi* 專案已難以僅靠傳統審計或人工檢查因應風險,必須在開發與營運(*DevOps*)流程中,導入 *AI* 驅動的即時程式碼分析與行為監控工具,將防禦前移到「開發階段」並延伸到「上線後的持續監測」。
不過,也有專家提醒,至今在公開鑑識報告中,能明確證明「由 AI 完整主導某次鏈上攻擊」的案例仍相對有限。區塊鏈安全公司 *Cyvers* 的共同創辦人暨技術長梅爾·多列夫(Meir Dolev)指出,應優先關注的是美國區塊鏈分析公司 *Chainalysis* 以及美國聯邦調查局(FBI)已多次發出警示的「AI 輔助詐騙模式」,這類案例累積的證據與手法更具代表性。他強調,*DeFi* 協議具有「*開源程式碼*、*資金流轉高速*、*合約結構高度互相耦合*」三大特徵,因此只要專案方在權限設定或合約邏輯上出現「一次失誤」,攻擊者就有機會迅速放大損失。
多列夫進一步點出,目前在 *DeFi* 中最常見的幾個脆弱環節,包括:智慧合約邏輯錯誤、管理員私鑰與多簽權限、*DevOps* 部署流程、前端網站與介面、簽名流程設計,以及以真人為目標的社交工程攻擊。他認為,*DeFi* 安全仍有補救空間,但前提是業界要從「在上線前做一次安全檢查」的思維,轉向「把安全當成鏈上執行層的長期管控機制」。這意味著,專案方必須採用 *AI 輔助程式碼審查*、紅隊演練、金鑰管理升級與交易模擬(預演)等工具,建構「*持續性防禦*」機制,而不只是追求一紙審計報告。*評論:若照此路徑發展,未來協議在安全預算與 AI 工具投入上的差異,很可能直接反映在用戶信任與 TVL 表現。*
整體來看,這場圍繞 *AI* 與 *DeFi* 的安全辯論,凸顯的是一個關鍵問題:*DeFi* 在 AI 時代究竟變得更脆弱,還是正在迎來重構防禦架構的轉折點?隨著攻擊事件累積與鏈上資本規模放大,市場參與者愈來愈傾向把「安全實力」視為專案能否吸引長期資金、維持協議信任度的核心變數。對專案團隊而言,如何善用 *AI* 作為防禦工具,而不被同一套技術反向利用,將是下一輪 *DeFi* 競爭中無可迴避的關鍵課題。
留言 0