人工智能重塑去中心化金融安全范式

传统去中心化金融的安全信念——依赖智能合约审计、漏洞赏金和多签钱包——在2026年4月7日被彻底打破。当时披露的未公开人工智能模型Claude Mythos Preview,自主识别出互联网核心操作系统、浏览器及密码学库中的数千个零日漏洞,直接威胁到支撑超2000亿美元锁定总价值的基础设施。这一发现使经纪商、交易所与协议运营商不得不重新评估其安全架构的可行性。

技术突破与现实冲击

Mythos Preview在漏洞利用方面实现72.4%的成功率,远超此前人工智能模型近乎为零的表现。该模型在关键开源系统OpenBSD中发现一个存在长达27年的严重缺陷。2025年全球加密资产损失达34亿美元,仅2026年第一季度即有1.686亿美元从34个协议中被盗。当前DeFi借贷协议总锁仓价值突破550亿美元,其中Aave接近500亿,反映机构资本高度集中于智能合约生态。

安全预算的结构性重置

尽管2025年大部分损失源于私钥泄露与社交工程等人为失误,而非链上代码攻击,但现实已表明行业长期误判了威胁来源。过去十年的安全投入过度聚焦于智能合约逻辑,而忽视了密钥管理、节点通信与密码学库等底层依赖。如今,这些曾被视为“默认安全”的组件,正成为人工智能可被武器化的突破口。

从理论推演到实战验证

Mythos并非抽象模拟。其在复现测试中准确率达83.1%,显著优于旧模型的66.6%。更关键的是,在生成有效攻击方案任务中,它成功构建出可执行的攻击链,实现72.4%的命中率,标志着人工智能在漏洞发现与利用能力上首次超越人类专家。演示显示,它能串联浏览器内四个漏洞,结合即时编译堆喷技术突破渲染器与操作系统的沙箱隔离;并利用Linux内核竞态条件绕过地址空间随机化保护,完成权限提升。

密码学根基的动摇

最令业界警醒的是其在密码学层面的突破。该模型定位了传输层安全协议(TLS)、高级加密标准伽罗瓦计数器模式(GCM)以及安全外壳协议(SSH)中的潜在弱点——这些正是多方计算与多签钱包所依赖的核心机制,用于密钥分发、交易签名与节点间通信。此外,它还发现了一个存在于FFmpeg中长达16年的漏洞,该漏洞在五百万次自动化扫描中均未被捕捉,凸显传统工具的系统性盲区已被人工智能填补。

机构资本的隐忧与风险敞口

DeFi协议锁仓规模已达550亿美元,以太坊基金会已完成7万枚以太坊质押,价值约1.43亿美元,标志着机构战略重心从出售转向链上收益获取。然而,2025年全年34亿美元损失中,单家交易所遭攻击即造成14亿美元损失,占总量近半。2026年一季度,黑客从34个协议中窃取1.686亿美元。这些数据揭示:真正威胁来自非代码层面的攻击面,而该领域长期被低估。

重演传统金融的代价教训

DeFi正步向传统金融在21世纪初算法交易浪潮中的老路——优先追求速度与收益,将安全视为成本项。直到2010年闪崩事件、某公司因部署错误45分钟内亏损4.4亿美元,以及多次交易所中断后,行业才被迫建立运营韧性框架。欧盟随后推出数字运营韧性法案,强制要求信息与通信技术风险管理、事件报告与第三方测试。当下,德菲尚未经历类似灾难,但其可组合性意味着单一漏洞可能引发全网级连锁崩溃,后果远超单个机构受损。

监管滞后与现实脱节

美国正在推进立法,试图界定数字资产监管归属,并对DeFi平台施加新义务。英国则推动金融行为监管局采用狭义“控制”定义,主张监管责任应基于是否拥有用户资金的单边授权。与此同时,某大型交易所已在华盛顿设立2900万美元政策研究中心,十余名加密高管参与参议院圆桌会议,监管机器已然启动。但问题在于,现有提案仍聚焦资产分类、披露与市场结构,未涵盖人工智能驱动的持续威胁。监管框架仍在为昨日的挑战设计,而攻击面已发生根本性跃迁。

未来三大变革趋势预测

人工智能大规模漏洞发现将在未来12至18个月内深刻改变安全格局。第一,持续性人工智能审计将成为机构参与DeFi的准入门槛。静态时点审计已无法应对动态威胁,协议需部署实时、由AI驱动的安全监控,如同传统金融强制渗透测试。第二,安全支出将重构:预算必须从智能合约延伸至完整基础设施堆栈,包括操作系统、密码学库、传输协议与节点安全,否则将难以获得保险或融资支持。第三,监管将加速响应。专项计划提供的实证证据将推动下一波立法,包含强制性的AI安全测试、事件响应机制与密码学依赖披露要求,使人工智能与区块链融合成为合规必需。

关键行动建议与认知升级

最终生存的协议将是那些将人工智能发现的漏洞视为运营现实而非理论风险的组织。专项计划承诺投入1亿美元使用额度及400万美元捐款,表明其视此为迫在眉睫的危机。运营商必须立即扩展安全边界至密码学依赖、节点通信与传输协议层级,实施持续的AI驱动监控,建立零日漏洞应急响应流程,并主动分散依赖以降低系统性风险。

常见问题解答

Mythos Preview是什么?它发现了什么?该未发布人工智能模型自主发现了主流操作系统、浏览器与密码学库中的数千个高危零日漏洞,其漏洞利用成功率高达72.4%,并识别出支撑DeFi协议的关键协议如TLS、GCM与SSH中的深层缺陷。

人工智能漏洞发现如何影响DeFi安全?由于DeFi依赖的密码学库与传输协议与Mythos发现目标一致,支撑钱包、签名与通信的安全假设已被动摇,对超2000亿美元锁定资产构成系统性威胁。

专项安全计划是什么?这是负责任地部署Mythos进行防御性安全的倡议,由12家顶尖机构联合发起,提供1亿美元使用额度及400万美元捐赠给开源安全组织,旨在在漏洞被利用前完成修复。

在人工智能时代,智能合约审计是否仍然有效?其在合约逻辑层面仍有价值,但单独使用已不足。人工智能可发现传统工具无法捕捉的新型攻击路径,如16年未被发现的FFmpeg漏洞。因此,混合方法——结合人工审查与AI持续测试——已成为新标准。

DeFi协议运营商现在应该做什么?应将安全范围扩展至基础设施堆栈,实施持续的AI驱动监控,优化密码学依赖结构,并建立针对零日漏洞的快速响应机制。

监管机构会强制要求进行人工智能安全测试吗?目前立法尚未明确要求。但专项计划提供了充分证据,证明此类要求合理。预计下一阶段的监管将借鉴传统金融经验,引入强制性网络安全标准。