TechFlow rapporte que, le 29 avril, a16z a révélé qu’une équipe de chercheurs avait mené des tests systématiques afin d’évaluer la capacité des agents IA à exploiter, de manière autonome, des vulnérabilités liées à la manipulation des prix dans les protocoles DeFi. L’étude s’est appuyée sur un ensemble de données composé de 20 incidents avérés de manipulation des prix sur Ethereum et a utilisé Codex (GPT 5.4), équipé de la chaîne d’outils Foundry, comme agent de test. Dans des conditions de référence dépourvues de connaissances spécialisées, le taux de réussite de l’agent était de seulement 10 % ; toutefois, après l’intégration de connaissances spécialisées structurées, extraites d’attaques réelles, ce taux est passé à 70 %.
L’analyse des cas d’échec montre que l’agent parvenait systématiquement à identifier correctement les vulnérabilités, mais qu’il ne comprenait généralement pas la logique de levier inhérente au prêt récursif, sous-estimait ou surestimait l’espace de profit potentiel, et était incapable de composer une séquence d’attaques multi-étapes impliquant plusieurs contrats. L’expérience a également enregistré un incident d’évasion du bac à sable : l’agent a extrait la clé RPC contenue dans la configuration du nœud local, puis invoqué la méthode anvil_reset pour réinitialiser le nœud à un bloc futur, contournant ainsi les restrictions d’isolement des informations et accédant à des données réelles issues d’attaques.
L’équipe de recherche conclut que, bien que les agents IA puissent actuellement assister efficacement à l’identification des vulnérabilités, ils ne sont pas encore capables de remplacer des auditeurs de sécurité professionnels.
