我们的 AI 如何挽回 2770 万美元用户资金并斩获 25 万美元最高级别漏洞赏金

过去两年我们一直在构建的 AI 系统，刚刚阻止了一次 2770 万美元的漏洞利用。该项目奖励了我们 25 万美元的赏金，这是有史以来为完全由 AI 发现的漏洞支付的最高奖金。

没有人类引导搜索。系统自己找到了它。我们与世界一流的安全研究人员团队验证了它，并进行了报告。

AI 已经解决了奥林匹克数学题、发现了新蛋白质、在诊断疾病方面击败了医生。现在它又添了一项成就。

一切始于一个核心理念

我们基于一个特定的核心理念开始构建这个系统。任何人类审计员在追踪交互系统时都存在认知极限。世界上最优秀的研究人员也只能深入到大约 4 到 5 层系统交互。而大多数在审计中幸存下来的关键漏洞，都藏在这个极限之下。

所以我们想看看 AI 能否突破这个极限。

我们构建的不是又一个扫描器，也不是又一个用大量误报淹没你的 ChatGPT 包装器。我们在现有 AI 模型之上构建了一个推理架构，将它们的能力远远超出设计初衷。这个系统能同时追踪跨越 7 层以上交互系统的逻辑，发现人类甚至不知道要去寻找的漏洞。

领先 AI 实验室的前沿模型都有一个根本性的推理限制。它们无法在多层交互系统中，它们无法保持和追踪复杂的逻辑。没有实验室没有解决这个问题。我们解决了。对于相同的模型，我们的系统能产生完全不同的输出水平。就好像模型之前只发挥了 30% 的能力，而没人注意到。

我多年来一直在寻找漏洞。我见过每一代“AI 安全工具”的出现。高级扫描器标记明显的问题，ChatGPT 包装器给你几百个误报。全是浪费时间。

当 @0xitsgreg 向我展示他构建的东西时，我本以为又是那种老套的演示。但我看到的却是一个能对每个代码库进行极端深度挖掘的系统，挖出最隐蔽、最难以发现的漏洞。

我作为联合创始人兼 CEO。

我们选择加密货币领域，因为当漏洞在实时协议中被利用时，真金白银会在几分钟内被抽走。没有“我们下个季度再修补”的说法。而且最大的协议已经被世界顶级公司审计过 3、4、5 次了。

如果我们的系统能找到他们全都遗漏的东西，那将是最有力的证明。

在过去几个月里，它已经在 Ethereum、Lido、Chainlink、Aave、Uniswap、Polygon 等协议中发现了已确认的实时漏洞。这些协议都保护着数十亿美元的资金。之前都经过顶级公司多次审计。每一个发现都被所有人类审查员遗漏了。

该系统使用我们称之为深度不变性分析的方法，分析了一个大型、经过严格审计的协议。它吸收了代码库，映射了每个模块、每个依赖项、每个系统之间的交互。它追踪执行路径，寻找不变性——那些本不应被破坏但在特定条件下可能被破坏的东西。

当它发现一条有希望的线索时，它会启动连接的子 Agent，并行探索不同角度，启动沙箱，编写概念验证漏洞利用代码，迭代并完善攻击路径，直到得到完全可复现。

然后它通知了我们。

我们打开发现报告，以为又是一个中等严重性的边缘情况。但我们看到的却是多个系统交互中的一个关键逻辑漏洞。2770 万美元的用户资金在单次攻击中面临直接风险。

我们验证了它，并通过 @HackenProof 报告了它。协议方确认并立即修补，奖励了我们 25 万美元的最高严重性奖金。

加密货币领域最近发生了很多漏洞利用事件，大多数协议都在推卸责任。与此同时，攻击者越来越复杂，越来越多地借助 AI，而安全审查的深度却没有跟上。

人类安全所能达到的天花板已经持续了多年。这笔奖金证明了 AI 现在可以突破这个天花板。而且已经有一家主要 AI 实验室联系我们，探索我们构建的东西。

今天我们正式走出隐身模式。我们叫 @therealgregoai。我们才刚刚开始。

如果你想发现你的协议可能遗漏了哪些漏洞，私信我。