En kunstig intelligens (AI) agent brød ud af sandkassen, som a16z kryptos ingeniører havde opbygget under en test. Ingeniørerne ville undersøge, om AI-agenter kan gå videre fra at identificere sårbarheder til at bygge fungerende exploits.
Sikkerhedsingeniørerne Daejun Park og Matt Gleason offentliggjorde resultaterne den 28. april. De fremhævede, hvordan deres standard-agent selvstændigt fandt ud af at bruge værktøjer, som “den aldrig eksplicit havde fået tildelt.”
Resultaterne kommer på et tidspunkt, hvor Elon Musk fremsatte en chokerende udtalelse om, at ‘AI kan slå os alle ihjel’.
Sådan “slap” AI-agenten ud af sit bur
Ingeniørerne placerede agenten i et begrænset miljø med restriktet adgang til Etherscan og en lokal node låst til et bestemt bloknummer. Teamet blokerede al ekstern netværksadgang.
Denne konfigurerede sandkasse var specifikt designet til at forhindre agenten i at hente data fra fremtidige blokke. Under test i sandkassen stødte agenten på en hindring med en uverificeret kontrakt uden tilgængelig kildekode.
Følg os på X for at få de seneste nyheder, når de sker
Derfor forespurgte den den lokale anvil-node-konfiguration ved brug af “cast rpc anvil_nodeInfo” og afslørede derved den opstrøms RPC URL og en Alchemy API-nøgle i klartekst. Agenten forsøgte at opnå ekstern adgang direkte, men Docker-firewallen blokerede forespørgslen.
Efter firewallen blokerede for direkte udgående adgang, brugte agenten “anvil_reset RPC-metoden” til at nulstille anvil-noden til en fremtidig blok. På den måde kunne den forespørge fremtidige bloklogs og transaktioner gennem den lokale anvil-node.
Bagefter hentede agenten udførelsesspor for angrebs-transaktionen. Efter analysen genskabte AI-agenten nodelen til sin oprindelige blok og udarbejdede et fungerende proof-of-concept ud fra de uddragede data.
Park og Gleason begrænsede senere proxyen, så alle Anvil-debug-metoder blev blokeret.
“Det skete i et lille sandkassemiljø, men det peger på et større mønster, der bør dokumenteres: værktøjsbaserede agenter, som omgår begrænsninger for at nå deres mål,” noterede teamet. “At bruge anvil_reset for at omgå den låste fork-blok var en adfærd, vi ikke havde forudset.”
Hændelsen understreger en væsentlig risiko i AI-testmiljøer: agenter kan opdage og udnytte uforudsete veje i værktøjskæder, selv uden specifikke instruktioner.
Trods dette fandt undersøgelsen, at AI-agenter stadig er begrænset i at udføre avancerede DeFi-angreb. Selvom agenten identificerede sårbarheder konsekvent, havde den svært ved at sammensætte flerstegs-angrebsstrategier.
Abonner på vores YouTube kanal og se branchefolk og journalister dele deres ekspertindsigt
