Un agent de sécurité IA spécialement conçu a détecté des vulnérabilités dans 92 % des contrats intelligents DeFi exploités dans un nouveau benchmark open source.
L’étude, publiée jeudi par la société de sécurité IA Cecuro, a évalué 90 contrats intelligents réels exploités entre octobre 2024 et début 2026, représentant 228 millions de dollars de pertes vérifiées. Le système spécialisé a signalé des vulnérabilités liées à une valeur d’exploitation de 96,8 millions de dollars, contre seulement 34 % de détection et 7,5 millions de dollars de couverture par un agent de codage de base basé sur GPT-5.1.
Les deux systèmes fonctionnaient sur le même modèle frontalier. La différence, selon le rapport, résidait dans la couche d’application : méthodologie spécifique au domaine, phases d’examen structurées et heuristiques de sécurité axées sur DeFi superposées au modèle.
Les résultats arrivent dans un contexte d’inquiétude croissante quant à l’accélération de la criminalité cryptographique par l’IA. Des recherches distinctes d’Anthropic et d’OpenAI ont montré que les agents d’IA peuvent désormais exécuter des exploits de bout en bout sur la plupart des contrats intelligents vulnérables connus, la capacité d’exploitation doublerait environ tous les 1,3 mois. Le coût moyen d’une tentative d’exploitation basée sur l’IA est d’environ 1,22 $ par contrat, ce qui réduit considérablement les obstacles à une analyse à grande échelle.
La couverture précédente de CoinDesk a souligné comment des acteurs malveillants tels que la Corée du Nord ont commencé à utiliser l’IA pour intensifier les opérations de piratage et automatiser certaines parties du processus d’exploitation, soulignant ainsi l’écart grandissant entre les capacités offensives et défensives.
Cecuro affirme que de nombreuses équipes s’appuient sur des outils d’IA à usage général ou sur des audits ponctuels pour la sécurité, une approche qui, selon l’analyse comparative, pourrait passer à côté de vulnérabilités complexes et de grande valeur. Plusieurs contrats de l’ensemble de données avaient déjà fait l’objet d’audits professionnels avant d’être exploités.
L’ensemble de données de référence, le cadre d’évaluation et l’agent de base sont disponibles en open source sur GitHub. La société a déclaré qu’elle n’avait pas publié l’intégralité de son agent de sécurité, craignant que des outils similaires ne soient réutilisés à des fins offensives.