ذكاء اصطناعي يسرق أسرع مما يمكنك تدقيقه

إن عصر التدقيق اليدوي في مجال التمويل اللامركزي (DeFi) يقترب من نهايته. إذ أصبحت نماذج مثل GPT-5 وClaude قادرة على تحديد الثغرات في العقود الذكية على شبكة إيثيريوم واستغلالها بشكل ذاتي. وتعتمد سلامة قطاع DeFi في المستقبل الآن على قدرة الصناعة على نشر ذكاء اصطناعي دفاعي بالسرعة نفسها التي يتطور بها التهديد.

كيف ينفّذ الذكاء الاصطناعي عملية الاستغلال

العقد الذكي هو برنامج ذاتي التنفيذ، يُكتب في الغالب بلغة Solidity من أجل آلة إيثيريوم الافتراضية. ويعمل على النحو التالي: إدخال أموال، استيفاء شروط، ثم الحصول على مخرجات. أمّا الثغرة فهي خلل برمجي يسمح للمهاجم بتجاوز الشروط المقصودة.

تعمل نماذج GPT-5 وClaude Opus 4.5 كمولدات استغلال ذاتية (Agentic Exploit Generators) من خلال عملية تكرارية متقدمة:

1. يُعطى وكيل الذكاء الاصطناعي هدفًا محددًا — عنوان العقد ورقم الكتلة. ويستخدم أدوات متخصصة لجلب الشيفرة المصدرية، وواجهة ABI (Application Binary Interface)، والحالة الحالية على السلسلة.
2. يقوم النموذج بتحليل الشيفرة والحالة بحثًا عن أنماط الضعف المعروفة، ثم يُنشئ نموذج إثبات مفهوم (PoC) للاستغلال على شكل عقد Solidity خبيث جديد.
3. يتم تشغيل نموذج PoC في بيئة بلوك تشين مُحاكاة (مثل شبكة مُتفرعة باستخدام Foundry). وهذه هي الخطوة الحاسمة. فإذا فشل الاستغلال، يحلل الذكاء الاصطناعي أثر المعاملة وسبب الإرجاع، ويستخدم هذه الملاحظات لتحسين وتوليد نص استغلال جديد وأكثر كفاءة.
4. لا يعلن الوكيل النجاح إلا إذا أدى الاستغلال إلى عائد إيجابي صافٍ.

وقد نجح باحثون في استخدام هذه الوكلاء لإعادة إنتاج استغلالات لمئات الثغرات التاريخية ضمن معيار قياس، ما أدى إلى توليد استغلالات مُحاكاة بقيمة إجمالية بلغت 4.6 مليون دولار. وفي محاكاة ضد عقود حديثة غير خاضعة للتدقيق، تمكنت هذه الوكلاء من اكتشاف ثغرات يوم الصفر (Zero-day)، وهي عيوب لم تكن معروفة لأي طرف من قبل.

عدم التماثل الاقتصادي وأزمة التدقيق

لم يعد التدقيق اليدوي قابلًا للتوسع في مواجهة هذا المستوى الجديد من التهديد. إذ يواجه المدققون البشر صعوبة في مواكبة الوتيرة، وهو ما ينعكس في السوق: حيث تشير تقارير Chainalysis إلى أن الاختراقات المرتبطة بـ DeFi شكّلت النسبة الأكبر من إجمالي سرقات العملات الرقمية في عام 2024، وهو اتجاه من المرجح أن يتسارع مع استغلال الذكاء الاصطناعي. ويهدد هذا الخطر المتزايد تبنّي المستخدمين والقيمة السوقية للنظام البيئي لإيثيريوم بأكمله.

ومن أشهر الأمثلة اختراق DAO في عام 2016. تحدث ثغرة إعادة الدخول (Reentrancy) عندما يقوم العقد بإرسال Ether إلى عنوان خارجي ثم يُحدّث حالته الداخلية بعد الاستدعاء الخارجي. ويحتوي عقد المهاجم على دالة احتياطية (fallback function) تقوم، عند استلام Ether، باستدعاء العقد الأصلي مرة أخرى لسحب أموال إضافية قبل تقليل الرصيد. ويتيح ذلك للمهاجم تكرار عملية السحب عدة مرات. ويمكن للذكاء الاصطناعي نمذجة وتنفيذ هذا التسلسل متعدد المعاملات بسهولة، وهو أمر معقد بالنسبة للتحليل الساكن وحده.

أهم الخلاصات

• وكلاء نماذج اللغة الحديثة قادرون على توليد واختبار وتحسين استغلالات العقود الذكية المربحة بشكل ذاتي.
• المراجعات البشرية لا تستطيع مجاراة توليد الاستغلالات التكراري المعتمد على التغذية الراجعة.
• استغلال واحد ناجح كفيل بتعويض عدد لا نهائي من المحاولات الفاشلة؛ وعلى المدافعين أن يكونوا على صواب في كل مرة.
• العديد من الاستغلالات عالية التأثير (مثل إعادة الدخول وعيوب المنطق المعتمد على الحالة) لا تظهر إلا من خلال التنفيذ الديناميكي.
• وكلاء الذكاء الاصطناعي يكتشفون ثغرات لم يسبق لأي إنسان توثيقها أو التعرّف عليها.