免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

AI挖掘的零日漏洞暴露DeFi安全危机

2026-04-10 05:07:23

传统DeFi安全观的终结

去中心化金融领域长期奉行的安全共识认为，智能合约审计、漏洞赏金和多签钱包足以保障链上资产安全。这一假设在2026年4月7日被彻底颠覆。当时公开披露，其未发布的人工智能模型Claude Mythos Preview自主发现了互联网底层每个主要操作系统、网页浏览器和密码学库中的数千个零日漏洞——这包括支撑DeFi协议、守护超过2000亿美元锁定总价值的核心基础设施。对于经纪商、交易所、机构配置方和协议运营商而言，影响立竿见影且意义深远：行业依赖十年的安全模型已不再适用。

关键事实与市场规模

Mythos Preview对所发现漏洞的利用成功率高达72.4%，而此前人工智能模型的成功率几乎为零。该模型在关键金融基础设施使用的OpenBSD中发现了一个存在27年的漏洞。加密货币领域在2025年损失高达34亿美元，仅2026年第一季度就损失1.686亿美元。DeFi借贷协议的总锁定价值已突破550亿美元，其中仅Aave协议就接近500亿美元。已承诺通过专项安全计划投入1亿美元使用额度及400万美元捐款，用于保障开源软件安全。2025年大部分加密资产损失源于操作失误——私钥被盗与社交工程攻击——而非链上代码利用。专项安全计划的启动合作伙伴包括12家顶尖机构，涵盖科技巨头与金融机构。

Mythos的实质发现与DeFi的警示

Mythos Preview并非理论推演。在漏洞复现基准测试中，其准确率达到83.1%，显著优于此前模型的66.6%。更关键的是，在根据已发现漏洞开发有效攻击方案的任务中，Mythos实现了72.4%的成功率——这是从近乎零到突破性的跨越。正如其在专项计划公告中所指出的："人工智能模型的代码能力已达到新高度，在发现和利用软件漏洞方面能够超越除顶尖专家外的所有人类。"

技术演示令人警醒。Mythos自主串联了网页浏览器中的四个漏洞，部署复杂的即时编译堆喷技术同时突破渲染器和操作系统沙箱限制。它在无需人工指导的情况下利用Linux内核的微妙竞态条件，绕过内核地址空间布局随机化保护，实现权限提升。它还通过组合二十个代码片段构建跨多个数据包的返回导向编程链，利用网络文件系统漏洞实现对FreeBSD的远程根权限访问。

对DeFi而言，最关键发现在于Mythos在密码学层面的发现。该模型识别出传输层安全协议、高级加密标准伽罗瓦计数器模式和安全外壳协议中的弱点——这些正是多方计算与多签钱包实现方案依赖的核心协议，用于密钥管理、交易签名和节点通信。它还定位了FFmpeg中一个存在16年的漏洞，该漏洞在五百万次自动化扫描测试中均未被发现，证明传统安全工具存在系统性盲区，而人工智能现已能够加以利用。

从早期DeFi协议发展阶段就开始追踪其基础设施安全状况，行业认定的安全边界与敌对性人工智能所能攻破的防线之间，从未出现过如此巨大的鸿沟。

风险敞口规模与攻击面分析

金融风险敞口令人震惊。据行业数据显示，仅DeFi借贷协议的总锁定价值就已超过550亿美元，其中Aave协议向500亿美元迈进的抛物线增长轨迹，标志着机构资本在基于智能合约的协议中达到前所未有的集中度。以太坊基金会近期已完成7万枚以太坊的质押，价值约1.43亿美元，这标志着其策略从出售以太坊转向获取链上收益。这些都不是散户实验，而是假设底层安全架构稳固的机构级资本部署。

然而证据表明情况并非如此。据行业报告统计，2025年加密货币盗窃金额达34亿美元，其中单家交易所遭黑客攻击造成的14亿美元损失就占全年损失的44%。2026年第一季度，黑客从34个DeFi协议中窃取1.686亿美元。关键之处在于，2025年大多数重大损失源于操作失误——私钥泄露和社交工程攻击——而非链上代码利用。

行业洞察显示：行业一直针对错误的威胁模型进行优化。当审计人员专注于智能合约逻辑时，真正的攻击面——密钥管理基础设施、节点通信层以及一切所依赖的密码学库——在很大程度上被想当然地视为安全。人工智能驱动的漏洞发现一夜之间改变了这种计算方式。

传统金融的前车之鉴

竞争性报道完全忽视了这个跨行业洞察：DeFi正在重演传统金融在二十一世纪初算法交易浪潮中犯下的相同错误——而调整过程将遵循同样痛苦的轨迹。

当电子交易成为主流时，银行大量投资于执行速度和阿尔法生成，同时将基础设施安全视为成本中心。直到2010年闪崩事件、某公司因软件部署错误在45分钟内损失4.4亿美元，以及一系列交易所中断事件，才迫使行业接受运营韧性不是可选项，而是生存必需。监管机构随后推出欧盟数字运营韧性法案等框架，强制要求金融实体进行信息和通信技术风险管理、事件报告和第三方依赖测试。

DeFi现在正处于其关键时刻。该行业已向收益优化、治理代币经济学和跨链桥接投入数十亿美元，同时假设密码学基础坚不可摧。Mythos证明事实并非如此。区别在于，在传统金融领域，某公司的失败仅影响单一机构的资产负债表。而在DeFi中，一个受损的密码学库可能同时波及每个协议——成为没有断路器的关联风险事件。

传统金融用惨痛代价换来的教训是：安全标准化总是跟随灾难性损失而来，而非预防措施。DeFi运营商面临的问题是，他们将从这种相似性中汲取教训，还是等待自己的关键时刻——考虑到DeFi的可组合性，其后果可能严重数个数量级。

监管压力与AI安全鸿沟

时机的影响再重要不过。在美国，相关法案正在国会推进，试图界定数字资产应归属证券交易委员会还是商品期货交易委员会管辖，并对DeFi平台施加新的运营要求。在英国，DeFi教育基金敦促金融行为监管局采用狭义"控制"定义，主张监管义务应取决于实体是否对用户资金拥有单方面授权——而非仅仅是否开发了协议。

与此同时，某交易所在华盛顿启动了2900万美元的政策中心以影响美国DeFi监管，超过十名顶级加密货币高管参加了美国参议院关于DeFi规则和市场改革的圆桌会议。监管机器已经启动。

但矛盾在于：当前所有监管提案都未考虑到Mythos所暴露的人工智能加速威胁格局。美国相关法案侧重于资产分类、披露要求和市场结构。欧洲的加密资产市场监管法案涉及消费者保护和稳定币储备。两个框架都未强制要求进行Mythos能力所要求的那种持续、人工智能驱动的安全测试。监管机构正在为昨日的威胁构建框架，而攻击面已发生根本性转变。

正如其在专项计划公告中所指出，其12家启动合作伙伴中包含金融机构，表明传统金融已经认识到这一差距。问题在于，原生DeFi组织是否会在灾难性攻击迫使其采取行动之前得出相同结论。

未来趋势的三项预测

人工智能驱动的漏洞发现在此规模上的出现，将在未来12到18个月内从三个具体方面重塑DeFi安全格局。

第一，人工智能驱动的持续审计将成为机构参与DeFi的基本门槛。当前模式——部署前进行时点审计，随后辅以漏洞赏金——建立在漏洞被缓慢发现的世界中。当人工智能能够大规模发现并武器化零日漏洞时，协议将需要持续、人工智能驱动的安全监控作为基础要求。可以预见保险协议和机构托管方将在部署资金前强制要求此类措施，正如传统金融要求受监管实体进行渗透测试。

第二，DeFi的安全支出将经历结构性再平衡。行业当前在智能合约层级审计上投入比例失衡，同时假设底层堆栈——操作系统、密码学库、传输协议——是安全的。Mythos推翻了这一假设。安全预算需要超越智能合约逻辑，扩展至完整的基础设施堆栈，包括节点安全、交易验证层和密码学依赖管理。未能适应的协议将发现自身无法获得保险和投资。

第三，监管应对将加速。专项计划的披露为监管机构提供了实证证据，表明自我监管是不充分的。可以预见下一波聚焦DeFi的立法——无论是通过对现有法案的修订、加密资产市场监管法案即将出台的技术标准，还是独立的网络安全授权——都将包含对人工智能驱动的安全测试、事件响应协议和密码学依赖披露的要求。人工智能与区块链的融合不再仅仅是投资主题，正在成为监管的必然要求。

关键洞察显示：最终存活的协议将是那些将人工智能发现的漏洞视为运营现实而非理论风险的协议。专项计划1亿美元的投入表明其认为这不是遥远威胁，而是迫在眉睫的危险。DeFi运营商应认真对待这一信号。

常见问题解答

Mythos Preview是什么？它发现了什么？
Mythos Preview是未发布的人工智能模型，它自主发现了每个主要操作系统、网页浏览器和密码学库中的数千个高危零日漏洞。其漏洞利用成功率高达72.4%，远超此前的人工智能模型，并发现了DeFi基础设施所依赖的传输层安全协议和高级加密标准伽罗瓦计数器模式等协议中的缺陷。

人工智能漏洞发现如何影响DeFi安全？
DeFi协议依赖的密码学库和传输协议与Mythos发现漏洞的对象相同。这意味着支撑钱包基础设施、节点通信和交易签名的安全假设可能受到破坏——这对锁定在DeFi协议中的超过2000亿美元资产构成系统性风险。

专项安全计划是什么？
这是负责任地部署Mythos Preview进行防御性安全的倡议。它包括12家启动合作伙伴，提供1亿美元使用额度和400万美元捐款给开源安全组织，以便在发现的漏洞被利用前帮助修补。

在人工智能时代，智能合约审计是否仍然有效？
智能合约审计在智能合约层级逻辑方面仍有价值，但单独使用已不足够。人工智能能够发现基于模式的审计工具所遗漏的新型攻击向量——Mythos发现了存在16年的FFmpeg漏洞，而自动化工具在五百万次测试运行中都未能发现。结合人工智能驱动的持续测试与人类专家审查的混合方法现已成为行业标准。

DeFi协议运营商现在应该做什么？
运营商应将安全范围从智能合约代码扩展到完整的基础设施堆栈——密码学依赖、节点安全和传输协议。实施持续的人工智能驱动安全监控、分散密码学依赖、为零日漏洞披露建立事件响应协议是当务之急。

监管机构会强制要求DeFi进行人工智能安全测试吗？
现行立法并未明确要求人工智能驱动的安全测试。然而专项计划的披露为监管机构提供了证明此类要求合理性的证据。行业观察人士预计，下一波DeFi监管将包含强制性网络安全标准，类似于传统金融为运营韧性采用相关法规要求的方式。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文

30.00% 70.00%

利好

利空