Estudo da Anthropic aponta que agentes de IA geraram US$ 4,6 milhões em bugs de contratos inteligentes

Pesquisas recentes da importante empresa de inteligência artificial Anthropic e da organização de segurança de IA Machine Learning Alignment & Theory Scholars (MATS) mostraram que agentes de IA desenvolveram coletivamente explorações de contratos inteligentes no valor de US$ 4,6 milhões.

A pesquisa publicada pela equipe red team da Anthropic (um time dedicado a agir como um invasor para descobrir potenciais abusos) na segunda-feira afirmou que modelos comerciais de IA disponíveis atualmente são capazes de explorar contratos inteligentes.

O Claude Opus 4.5 e o Claude Sonnet 4.5 da Anthropic, junto com o GPT-5 da OpenAI, desenvolveram coletivamente explorações no valor de US$ 4,6 milhões quando testados em contratos, explorando-os após a coleta de seus dados de treinamento mais recentes.

Pesquisadores também testaram o Sonnet 4.5 e o GPT-5 em 2.849 contratos recém-implantados sem vulnerabilidades conhecidas, e ambos “descobriram duas novas vulnerabilidades zero-day e produziram explorações no valor de US$ 3.694.” O custo de API do GPT-5 para isso foi de US$ 3.476, o que significa que as explorações teriam coberto o custo.

“Isso demonstra, como prova de conceito, que a exploração autônoma lucrativa e real é tecnicamente viável, um achado que reforça a necessidade de adoção proativa de IA para defesa”, escreveu a equipe.

Gráfico de receita de exploração por IA em simulações. Fonte: Anthropic

Um benchmark de invasão de contratos inteligentes por IA

Pesquisadores também desenvolveram o benchmark Smart Contracts Exploitation (SCONE), composto por 405 contratos inteligentes que foram de fato explorados entre 2020 e 2025. Quando testados com 10 modelos, eles produziram coletivamente explorações para 207 contratos, resultando em uma perda simulada de US$ 550,1 milhões.

Os pesquisadores também sugeriram que o output necessário (medido em tokens na indústria de IA) para um agente de IA desenvolver uma exploração diminuirá ao longo do tempo, reduzindo assim o custo desse tipo de operação. “Analisando quatro gerações de modelos Claude, o número mediano de tokens necessário para produzir uma exploração bem-sucedida caiu 70,2%”, revelou a pesquisa.

Número médio de tokens de output por exploração por modelo. Fonte: Anthropic

As capacidades de invasão de contratos inteligentes por IA estão aumentando rapidamente

O estudo argumentou que as capacidades de IA nessa área estão melhorando em ritmo acelerado.

“Em apenas um ano, agentes de IA passaram de explorar 2% das vulnerabilidades na parte pós-março de 2025 do nosso benchmark para 55,88%, um salto de US$ 5.000 para US$ 4,6 milhões em receita total de exploração”, afirmou a equipe. Além disso, a maioria das explorações de contratos inteligentes deste ano “poderia ter sido executada autonomamente pelos atuais agentes de IA”.

A pesquisa também mostrou que o custo médio para escanear um contrato inteligente em busca de vulnerabilidades foi de US$ 1,22. Os pesquisadores acreditam que, com a queda de custos e o aumento das capacidades, “a janela entre o deploy de um contrato vulnerável e sua exploração continuará diminuindo”. Isso deixará os desenvolvedores com menos tempo para detectar e corrigir vulnerabilidades antes que sejam exploradas.