ИИ делает аудит смарт-контрактов дешевле и быстрее — и меняет стандарты безопасности в крипте

Выход ИИ-системы Mythos от Anthropic — инструмента для автономного поиска уязвимостей в коде — может изменить не только технологию аудита смарт-контрактов, но и то, что криптоиндустрия считает приемлемым уровнем due diligence. По мнению экспертов, когда качественный анализ безопасности становится доступным по цене близкой к нулю, отсутствие такой проверки перестаёт быть оправданием — и превращается в потенциальную юридическую уязвимость.

От разового аудита к непрерывному мониторингу

Десятилетиями безопасность смарт-контрактов упиралась в бюджет. Полноценный профессиональный аудит стоил десятки тысяч долларов и занимал недели — это делало его недоступным для небольших проектов. Mythos был кратко выпущен в начале июня 2026 года, после чего убран с американского рынка, однако успел обозначить вектор: ИИ способен выполнить базовый анализ за минуты.

««Это двигает цену базового аудита к нулю», — говорит Александр Урбелис, директор по информационной безопасности ENS Labs.»

Традиционные автоматизированные инструменты — так называемые фаззеры — искали баги, буквально «бомбардируя» программу случайными входными данными и наблюдая за сбоями. ИИ-системы работают иначе: они способны рассуждать о намерении кода — то есть сравнивать, что код должен делать, с тем, что он делает в реальности. В криптовалютном пространстве, где исходный код смарт-контрактов открыт, а программы bug bounty располагают значительными бюджетами, это принципиально расширяет возможности обнаружения уязвимостей до запуска.

Дэвид Швед, операционный директор компании по блокчейн-безопасности SVRN и основатель магистерской программы по кибербезопасности в Университете Ешива, описывает сдвиг ещё радикальнее. По его словам, современные модели действуют так же, как человек-атакующий: они итерируют, делают следующий шаг на основе того, что видят в реальном времени. Старый инструментарий был просто набором детерминированных потоков.

Но главным изменением Швед считает не само обнаружение уязвимостей, а появление непрерывного мониторинга безопасности.

««Реальный сдвиг — это постоянный аудит с предложениями по исправлению за долю прежней стоимости вместо разовой проверки, которую можно позволить себе лишь однажды», — говорит он.»

Новый стандарт осторожности и его пределы

Если проверки безопасности станут дешёвыми и непрерывными, изменятся и ожидания рынка. Урбелис полагает, что ИИ в конечном счёте переформатирует стандарт должной осмотрительности при разработке смарт-контрактов. Исторически команды могли ссылаться на дороговизну аудита как на причину его отсутствия. Этот аргумент теряет силу, когда сложный анализ доступен по запросу.

««Чистый отчёт ИИ не будет считаться защитой», — предупреждает Урбелис. — «Истец вполне может выдвинуть обратный аргумент: инструмент существовал, он был дешёвым, и вы должны были это поймать».»

Это ставит перед индустрией более широкие вопросы: если ИИ-аудит станет повсеместным, будут ли инвесторы требовать его перед финансированием проектов? Может ли отказ от ИИ-проверки со временем квалифицироваться как халатность? Для белорусских блокчейн-команд, работающих в периметре ПВТ, этот вопрос актуален уже сейчас: международные инвесторы и партнёры всё чаще включают требования по безопасности кода в условия сделок.

Однако ни один из экспертов не считает, что ИИ готов заменить людей-аудиторов. Машины хорошо находят технические баги в коде, но остаются слабее там, где речь идёт об экономических и стимул-ориентированных уязвимостях — именно они лежат в основе многих крупнейших потерь в крипте.

««Баги, опустошающие казну, часто завязаны на умысел и состязательные стимулы», — говорит Урбелис. — «Здесь по-прежнему нужен опытный человек».»

Швед добавляет более жёсткое предупреждение: если человек, запускающий инструмент, не способен оценить полученный результат — он не купил безопасность, он купил ложное ощущение безопасности.

Важнее всего то, что многие из наиболее дорогостоящих инцидентов в крипте вообще не были связаны с уязвимостями смарт-контрактов. Урбелис указывает на недавний взлом Drift — итог многомесячной кампании социальной инженерии, нацеленной на доверенных участников, а не на код протокола. «Смарт-контракт сделал именно то, что ему сказали. Под угрозой оказались полномочия, стоявшие за инструкцией», — поясняет он.

Швед приводит в пример инциденты с Ronin и Bybit, где ключевую роль сыграли скомпрометированные ключи и манипуляции с процессом подписания транзакций, а не программные ошибки. Никакой сканер кода не остановит авторизованного подписанта, одобряющего транзакцию, которую он не может верифицировать.

Таким образом, ИИ не устранит все угрозы безопасности в крипте. Но он фундаментально меняет одну часть уравнения: стоимость поиска ошибок и ожидания, связанные с их обнаружением. Для разработчиков и инвесторов это означает одно: планка «достаточной» безопасности поднимается — и поднимается быстро.

— По материалам CoinDesk: оригинальная статья. Перевод и адаптация — редакция Digital Business.