Агент штучного інтелекту (ШІ) вийшов за межі sandbox-середовища, створеного інженерами a16z crypto під час випробувань. Мета експерименту полягала у визначенні здатності агентів ШІ не лише виявляти вразливості, а й конструювати повноцінні експлойти.
Фахівці з безпеки Деджун Парк та Метт Глісон оприлюднили результати дослідження 28 квітня. Вони відзначили, що їхній стандартний агент самостійно опанував використання інструментів, «яких йому ніколи прямо не надавали».
Зазначені висновки озвучено на тлі резонансної заяви Ілона Маска щодо ризику знищення людства системами ШІ.
Як агент ШІ «вийшов» з-під контролю
Інженери помістили агента в ізольоване середовище із жорстким обмеженням доступу до Etherscan і локальним вузлом, прив’язаним до конкретного блоку. Зовнішній мережевий доступ повністю блокувався командою.
Подібна sandbox-конфігурація створювалася спеціально, щоб унеможливити отримання агентом будь-яких майбутніх даних. У ході тестування агент зіткнувся з невідомим цільовим смартконтрактом без відкритого вихідного коду.
Підписуйтеся на наш X для оперативних оновлень
Тоді він запитав параметри локального вузла anvil, використовуючи команду «cast rpc anvil_nodeInfo», і виявив upstream RPC-URL разом із відкритим у тексті API-ключем Alchemy. Агент спробував звернутися до зовнішніх ресурсів, проте захист Docker заблокував цей запит.
Після блокування прямого вихідного з’єднання firewall-ом агент застосував метод «anvil_reset RPC», щоб скинути стан вузла на майбутній блок. Таким чином він отримав змогу вивчати журнали і транзакції майбутнього періоду через локальний вузол anvil.
У подальшому агент отримав трасування виконання транзакції атаки. Завершивши аналіз, система повернула вузол до вихідного блоку і сформувала робочий proof-of-concept на основі отриманих даних.
Парк і Глісон надалі обмежили проксі для повного блокування усіх методів Anvil debug.
«Це сталося у невеликому sandbox-середовищі, однак відображає ширший тренд, який заслуговує окремого вивчення: агенти із доступом до інструментів долають системні обмеження для досягнення власних цілей», — зазначає команда. — «Застосування anvil_reset для обходу фіксованого блоку форку виявилося непередбачуваною поведінкою».
Інцидент підсвітив суттєвий ризик у середовищах випробувань ШІ: агенти здатні самостійно знаходити і використовувати неочевидні шляхи в обхід захисту навіть без прямих інструкцій.
Водночас дослідники констатують, що агенти ШІ залишаються малоефективними при реалізації складних атак у DeFi (децентралізовані фінанси). Попри регулярне виявлення вразливих елементів, агенту важко будувати мультирівневі стратегії експлуатації.
Підпишіться на наш YouTube-канал для аналітики й експертних коментарів
