AI が暴く スマートコントラクトの脆弱性最新調査

みなさん、こんにちは。今回は AI がスマートコントラクトの脆弱性をどれほど見つけ出し、悪用できるかについての最新の調査結果をわかりやすく解説します。

AIモデルが過去のスマートコントラクト攻撃を再現

AI 開発企業の Anthropic が、過去5年間に起きた 405 件のスマートコントラクトの攻撃事例を使って、10種類の最先端 AI モデルをテストしました。その結果、207 件の攻撃を AI が再現できたそうです。これは、AI が熟練したハッカーと同じくらいの能力を持っている可能性を示しています。

さらに、これらの AI モデルは、2025年3月以降に作られた新しいコントラクトに対しても、合計で約 460 万ドル相当のシミュレーション上の攻撃を成功させました。

新たなゼロデイ脆弱性も発見

Anthropic は Binance Smart Chain 上の約 940 万件のコントラクトから 2,849 件を抽出し、AI に解析させました。その結果、Claude Sonnet 4.5 と GPT-5 というモデルが、それぞれ未発見の脆弱性を2件ずつ見つけ出し、約 3,700 ドル相当のシミュレーション攻撃に成功しています。

例えば、あるトークンコントラクトの計算関数に「view」修飾子が付いておらず、内部の状態を何度も書き換えられてしまうというビジネスロジックのミスを突く攻撃がありました。こうした脆弱性は、AI が構造や文脈を理解すれば見つけやすいとのことです。

AIによる攻撃の拡大と防御の重要性

セキュリティ専門家の意見では、こうした AI を使った攻撃は今後さらに拡大しやすいと考えられています。なぜなら、多くの脆弱性情報が公開されており、AI がそれらを学習して既存のコントラクトに対して自動的に攻撃を試みることが可能だからです。

一方で、同じ AI 技術は防御側も利用できるため、適切な監視やテスト、緊急停止機能を備えれば被害を抑えられる可能性もあると指摘されています。つまり、攻撃者だけでなく開発者やセキュリティチームも AI を活用して対策を強化することが求められそうです。

まとめ

今回の調査は、AI がスマートコントラクトの脆弱性を見つけ出し、実際に攻撃を再現できるレベルに達していることを示しています。これにより、開発者はより自動化されたセキュリティツールの導入を急ぐ必要があるかもしれません。

ただし、AI の活用は攻撃だけでなく防御にも役立つため、技術の進歩をどう活かすかが今後の鍵となりそうです。引き続きウォッチしていきたいですね！