DefaultPerson/audit-agents-system

GitHub: DefaultPerson/audit-agents-system

一个概念演示项目,构建自主 AI agent 流水线来研究闭源 EVM 智能合约中的漏洞,自动化完成从反编译到漏洞验证的完整研究流程。

Stars: 0 | Forks: 0

# 自主审计智能体 **一条能够自主研究闭源 EVM 智能合约中漏洞的 AI agent 流水线 —— 一个概念演示。** [**▶ 在线演示 —— 工作原理**](https://defaultperson.github.io/audit-agents-system/) · [参考代码](src/) ## 缘由 加密货币攻击事件激增 —— **2025 年被盗约 34 亿美元** —— 并且还在持续发生: - **Truebit Protocol** —— 2026 年 1 月,**约 2600 万美元**(8,535 ETH)。 bonding-curve 定价函数中的整数溢出导致精心构造的 mint 操作返回了一个*零*价格,因此攻击者免费 mint 了代币并抽干了储备金。该合约**已有约 5 年历史,未经验证且未经过审计**。 - **Balancer V2** —— 2025 年 11 月,**约 1.28 亿美元**。稳定池 invariant 数学计算中的舍入误差在单笔交易中被叠加了数十次,从而扭曲了池价格。 - **Solv Protocol** —— 2026 年 1 月。一次重入*双重 mint* 将 135 个真实代币变成了**约 5.67 亿**个伪造代币。 为什么这么多的 bug 被发现并被抽干得如此之快 —— 而且往往是在那些多年无人问津的*老旧、闭源*合约中? 本仓库是**关于“如何做到”的一种假设**:这波浪潮的一部分是自动化、AI 驱动的漏洞研究 —— 智能体拉取未经验证的 bytecode,对其进行反编译,生成并论证攻击假设,并在分叉链上大规模地对这些假设进行验证。*([推测] —— 这是对一种看似可行的方法的概念演示,并非针对任何特定攻击者的指控。)* 这种能力显然是真实的:2026 年 5 月,运行着自主审计 agent 的 Anthropic Opus 4.8,在 Zcash 的 Orchard 池中独立发现了一个存在了四年之久的健全性漏洞。本仓库正是将同样的自主研究循环应用于闭源 EVM 合约。 每个阶段是如何运作的 —— 快照与分诊 → Dedaub 反编译 → 不可变的 artifact 包 → 由确凿证据把关的 Researcher ⇄ Skeptic 循环 → 分叉 / 模糊测试 / 符号验证 → 人工披露 —— 都在演示中进行了交互式展示: ### → [defaultperson.github.io/audit-agents-system](https://defaultperson.github.io/audit-agents-system/) ## 探索 - **[在线演示 →](https://defaultperson.github.io/audit-agents-system/)** —— 该方法的交互式演练。 - **[`src/`](src/)** —— 参考实现(Python 3.12),作为说明展示。 ## 许可证 [MIT](LICENSE) · 负责任使用政策详见 [SECURITY.md](SECURITY.md)。 ## 来源 - Truebit Protocol 攻击事件 —— [Rekt](https://rekt.news/truebit-rekt),[SlowMist](https://slowmist.medium.com/26-44-million-stolen-truebit-protocol-smart-contract-vulnerability-analysis-e44fe7becd8a),[CoinDesk](https://www.coindesk.com/markets/2026/01/09/truebit-token-tru-crashes-99-9-after-usd26-6m-exploit-drains-8-535-eth) - Balancer V2 及 2025 年回顾 —— [Halborn](https://www.halborn.com/blog/post/year-in-review-the-biggest-defi-hacks-of-2025) - 攻击样本与数据 —— [DeFiHackLabs](https://github.com/SunWeb3Sec/DeFiHackLabs),[Chainalysis 2025](https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2026/)
标签:AI智能体, EVM字节码, 区块链安全, 智能合约审计, 自动化流水线