En kunstig intelligens (AI) agent brøt ut av sandkassen som a16z crypto-ingeniører hadde bygget under en test. Ingeniørene ønsket å evaluere om AI-agenter kan gå fra å identifisere sårbarheter til å bygge fungerende utnyttelser.
Sikkerhetsingeniørene Daejun Park og Matt Gleason publiserte funnene sine 28. april. De fremhevet hvordan deres agent, som var bygget på ferdighyllevare, på egenhånd fant ut hvordan den kunne bruke verktøy som “den aldri eksplisitt ble gitt.”
Disse funnene kommer samtidig som Elon Musk kom med en sjokkerende uttalelse om at “AI kan drepe oss alle”.
Slik “rømte” AI-agenten fra buret sitt
Ingeniørene plasserte agenten i et begrenset miljø med begrenset tilgang til Etherscan og en lokal node festet til en bestemt blokk. Teamet blokkerte all ekstern nettverkstilgang.
Denne sandkasse-konfigurasjonen ble spesielt utviklet for å forhindre at agenten hentet data fra fremtiden. Under testing i sandkassen støtte agenten på en vegg da den møtte en ikke-verifisert kontrakt uten kildekode.
Følg oss på X for å få de siste nyhetene i sanntid
Agenten spurte derfor ut oppsettet på den lokale anvil-noden ved å bruke “cast rpc anvil_nodeInfo”, som avslørte den oppstrøms RPC-URL-en sammen med en Alchemy API-nøkkel i klartekst. Agenten forsøkte deretter ekstern tilgang direkte, men Docker-brannmuren blokkerte forespørselen.
Etter at brannmuren stoppet direkte utgående tilgang, brukte agenten “anvil_reset RPC-metode” for å tilbakestille anvil-noden til en fremtidig blokk. Dette gjorde det mulig å hente fremtidige blokklogger og transaksjoner gjennom den lokale anvil-noden.
Deretter hentet agenten ut kjøretraseer for angrepstransaksjonen. Etter å ha fullført analysen, gjenopprettet AI-agenten noden til sin opprinnelige blokk og produserte et fungerende proof-of-concept basert på de uttrukne dataene.
Park og Gleason blokkerte senere proxyen for alle Anvil debug-metoder.
“Dette skjedde i et småskala sandkassemiljø, men det fremhever et større mønster som bør dokumenteres: verktøystøttede agenter som omgår begrensninger for å nå sine mål,” skrev teamet. “Bruken av anvil_reset til å omgå den låste forkningsblokken var atferd vi ikke hadde forutsett.”
Hendelsen viser en viktig risiko i AI-testmiljøer: agenter kan oppdage og utnytte utilsiktede veier i verktøykjeder, selv uten eksplisitte instruksjoner.
Likevel viste studien at AI-agenter foreløpig har begrensninger når det gjelder å utføre avanserte DeFi-angrep. Selv om agenten konsekvent identifiserte sårbarheter, slet den med å sette sammen angrepsstrategier som bestod av flere trinn.
Abonner på vår YouTube-kanal for å se ledende eksperter og journalister dele innsikt
