Une récente étude menée conjointement par le géant de l’intelligence artificielle Anthropic et l’organisation spécialisée en sécurité Machine Learning Alignment & Theory Scholars (MATS) révèle que des agents IA ont collectivement conçu des exploits sur des smart contracts pour 4,6 millions de dollars.
Publiée lundi par l’« équipe rouge » d’Anthropic — un groupe chargé d’adopter le point de vue d’un attaquant afin d’identifier les usages malveillants potentiels — l’étude indique que des modèles d’IA commerciaux disponibles aujourd’hui sont déjà capables d’exploiter des failles dans des smart contracts opérationnels.
Claude Opus 4.5, Claude Sonnet 4.5 d’Anthropic ainsi que GPT-5 d’OpenAI ont, à eux trois, généré 4,6 millions de dollars d’exploits lors des tests sur plusieurs contrats. Ils sont parvenus à exploiter ces failles malgré la limite de leurs données d’entraînement.
Les chercheurs ont également testé Sonnet 4.5 et GPT-5 sur 2 849 smart contracts récemment déployés et ne présentant aucune vulnérabilité connue. Les deux modèles ont découvert deux failles inédites (zero-day) et généré des exploits d’une valeur totale de 3 694 dollars. Le coût d’utilisation de l’API GPT-5 pour cette opération s’élevait à 3 476 dollars — autrement dit, le gain potentiel couvrait déjà la dépense.
« Cela prouve, à titre de concept, que l’exploitation autonome, rentable et réelle de smart contracts est techniquement faisable. Un constat qui renforce l’urgence d’adopter des solutions défensives basées sur l’IA », écrivent les chercheurs.
Un benchmark dédié au hacking IA des smart contracts
Les chercheurs ont également conçu un benchmark baptisé SCONE (Smart Contracts Exploitation), composé de 405 contrats réellement compromis entre 2020 et 2025. Testés sur dix modèles d’IA, ceux-ci ont réussi à produire des exploits sur 207 contrats, entraînant une perte simulée de 550,1 millions de dollars.
L’équipe estime par ailleurs que la quantité de tokens nécessaire à un agent IA pour produire un exploit va continuer de diminuer, ce qui réduira encore le coût de ces opérations. En analysant quatre générations de modèles Claude, les chercheurs observent une baisse de 70,2 % de la quantité médiane de tokens nécessaire pour générer un exploit fonctionnel.
L’IA progresse à un rythme vertigineux dans le hacking des smart contracts
Selon l’étude, les capacités offensives des IA dans ce domaine explosent.
« En seulement un an, les agents IA sont passés d’un taux d’exploitation de 2 % des vulnérabilités identifiées après mars 2025 à 55,88 % — soit un saut de 5 000 dollars à 4,6 millions de dollars de revenus tirés des exploits », détaillent les auteurs.
Ils affirment par ailleurs que la majorité des exploits de smart contracts observés cette année auraient pu être exécutés de manière autonome par les modèles actuels.
L’étude montre aussi que le coût moyen pour analyser un smart contract s’établit à 1,22 dollar. Avec des coûts en baisse et des capacités en hausse, les chercheurs estiment que le laps de temps entre le déploiement d’un contrat vulnérable et son exploitation continuera de se réduire. Conséquence, les développeurs disposeront de moins en moins de temps pour détecter et corriger des failles avant qu’elles ne soient activement exploitées.