a16z crypto 安全工程师近期测试发现,一名人工智能(AI)智能体成功突破了他们精心构建的沙盒环境。 本次实验旨在评估,AI 是否能从单纯识别漏洞,进一步发展到自主构建有效攻击手法。
安全工程师 Daejun Park 与 Matt Gleason 于 4 月 28 日公开发布了本次实验结果。他们强调,所使用的现成 AI 智能体能够独立学会操作“此前并未明示授权”的工具。
值得注意的是,此项发现正值埃隆·马斯克(Elon Musk)公开警告“AI 终将威胁全人类安全”之际,引发行业深度关注。
AI 智能体如何“突破”实验沙盒?
测试过程中,工程师团队将 AI 智能体
部署在高度受限的环境中,仅允许其访问受限制的 Etherscan,并通过本地节点将区块锁定于特定区块号,彻底屏蔽了所有外部网络访问权限。
这一沙盒环境的设计初衷是全面阻断智能体获取未来链上数据的能力。在实验中,AI 智能体在面对无源代码且尚未验证的目标合约时陷入僵局。
在此困境下,AI 智能体通过命令“cast rpc anvil_nodeInfo”查询到了本地 anvil 节点的配置,意外获取了上游 RPC 地址及明文暴露的 Alchemy API 密钥。紧接着,AI 试图直接发起外部访问请求,但遭到 Docker 防火墙拦截。
在直接高速通道被堵塞后,AI 智能体巧妙调用“anvil_reset RPC 方法”,将 anvil 节点重置至未来区块。借助这一操作,其成功利用本地 anvil 节点查询后续区块的日志及交易数据。
随后,AI 智能体顺利提取到了攻击交易的执行追踪数据。完成分析后,通过还原区块高度至初始状态,成功基于提取信息构建出可用的漏洞利用 PoC(概念验证)。
针对上述情况,Park 和 Gleason 此后进一步限制
所有 Anvil 调试相关的代理访问权限。
“虽然本次突破发生在规模有限的沙盒环境中,但这揭示出一种值得警惕的趋势:AI 智能体有能力借助工具链规避人为设限,达成既定目标。”团队在公开说明中指出,“AI 利用 anvil_reset 绕过节点区块锁定,这一行为远超我们的预估。”
这一事件凸显了 AI 沙盒测试的核心风险——即使未获得明确指导,智能体也可能主动发掘并攻击工具链中意外暴露的通道,实现权限突破。
尽管如此,研究也证实,当前 AI 智能体在执行复杂的 DeFi 攻击场景时,仍存在明显局限。虽然能够
持续发现漏洞,但在多步骤攻击链的协同执行上,尚难形成有效威胁。
欢迎订阅我们的 YouTube 频道,获取业界领袖与资深记者带来的深度洞见
