A empresa de auditoria de segurança de blockchain OpenZeppelin realizou uma auditoria independente ao padrão de teste de IA de segurança de contratos inteligentes EVMbench, lançado em colaboração com OpenAI e Paradigm, e identificou duas questões graves: contaminação de dados de treino e pelo menos 4 vulnerabilidades marcadas como “alto risco” que, na realidade, são falsificações inválidas.
Problema de contaminação de dados do EVMbench: uma vulnerabilidade crítica na data de corte do treino de IA
O EVMbench foi lançado em meados de fevereiro de 2026, com o objetivo de avaliar a capacidade de diferentes modelos de IA em identificar, corrigir e explorar vulnerabilidades de contratos inteligentes. Durante os testes, o acesso à internet dos agentes de IA foi bloqueado para evitar buscas online por respostas. No entanto, a auditoria da OpenZeppelin revelou uma falha estrutural: o padrão de teste baseia-se em vulnerabilidades identificadas em 120 auditorias realizadas entre 2024 e meados de 2025, período em que a maioria dos principais modelos de IA também teve seu conhecimento treinado até essa data.
Isso significa que os agentes de IA provavelmente tiveram acesso às vulnerabilidades do EVMbench durante seu pré-treinamento, armazenando as respostas na memória. A OpenZeppelin afirmou: “A habilidade mais importante de segurança de IA é descobrir vulnerabilidades em códigos que o modelo nunca viu antes.” A limitação do tamanho do conjunto de dados aumenta ainda mais o impacto da contaminação na avaliação geral.
Principais problemas identificados na auditoria do EVMbench
- Contaminação de dados de treino: o pré-treinamento dos agentes de IA pode incluir relatórios de vulnerabilidades do EVMbench, tornando a avaliação de “descoberta zero” sem sentido.
- Classificação inválida de vulnerabilidades de alto risco: pelo menos 4 vulnerabilidades marcadas como de alto risco são, na verdade, inexploráveis.
- Defeitos no sistema de pontuação: o EVMbench anteriormente atribuía pontos às descobertas dessas vulnerabilidades falsas, o que compromete a validade da avaliação.
- Tamanho limitado do conjunto de dados: amplifica o impacto da contaminação nos resultados globais.
- Classificação atual no ranking: Claude 4.6 da Anthropic lidera, seguido por OC-GPT-5.2 da OpenAI e Gemini 3 Pro do Google.
Crise de vulnerabilidades falsas: pelo menos 4 classificações de alto risco comprovadamente inválidas
Além da contaminação de dados, a OpenZeppelin identificou erros mais específicos. Avaliaram pelo menos 4 vulnerabilidades marcadas como de alto risco pelo EVMbench, que na realidade não existem — e, mais importante, suas descrições de exploração são inviáveis.
A OpenZeppelin afirmou: “Não se trata de uma divergência subjetiva de gravidade; as vulnerabilidades descritas simplesmente não funcionam.” Se um agente de IA “descobrir” essas vulnerabilidades falsas durante o teste, isso indica que o sistema de avaliação recompensa resultados incorretos.
A empresa destacou que esta auditoria não nega o potencial da IA na segurança de blockchain: “O problema não é se a IA mudará a segurança dos contratos inteligentes — ela certamente mudará. O problema é se os dados e padrões que usamos para construir e avaliar essas ferramentas estão alinhados com os padrões que eles pretendem proteger.”
Perguntas frequentes
O que a OpenZeppelin descobriu na auditoria do EVMbench?
A OpenZeppelin identificou duas questões principais: primeiro, a contaminação de dados, pois os relatórios de vulnerabilidades do EVMbench vêm de auditorias entre 2024 e 2025, período em que os modelos de IA também tiveram seu conhecimento treinado até lá, podendo já ter “visto” as respostas; segundo, pelo menos 4 vulnerabilidades marcadas como de alto risco que, na verdade, são falsas, pois suas explorações descritas não funcionam.
Por que a contaminação de dados é tão perigosa para a avaliação de segurança de IA?
Se o modelo de IA foi treinado com relatórios de vulnerabilidades do padrão, ele pode simplesmente “lembrar” as respostas, em vez de realmente identificar vulnerabilidades. Isso compromete a validade do teste de “zero conhecimento”, não refletindo a capacidade real do IA de auditar contratos inteligentes desconhecidos.
Qual é a postura da OpenZeppelin sobre o futuro da IA na segurança de blockchain?
A OpenZeppelin afirmou que a IA terá um impacto significativo na segurança de contratos inteligentes, mas esse impacto deve ser baseado em metodologias confiáveis e avaliações precisas. Eles veem os problemas do EVMbench como um alerta importante para o setor, não uma negação do potencial da IA.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
É isto que significa “desbloquear” o bitcoin em 9 minutos com computadores quânticos
A equipa de Google Quantum AI disse mais cedo esta semana que um futuro computador quântico poderia derivar uma chave privada do Bitcoin a partir de uma chave pública em cerca de nove minutos. O número saltou de um lado para o outro nas redes sociais e assustou os mercados.
Mas, o que é que isto significa, na prática?
Vamos começar por como o bitcoin
CoinDesk9h atrás
A Agência Financeira do Japão publica diretrizes reforçadas de cibersegurança para o setor de redes de serviços de troca de ativos criptográficos
A Agência dos Assuntos Financeiros do Japão publicou a “Política de Medidas de Reforço da Cibersegurança para Negócios como a Negociação e a Troca de Ativos Cripto”, com o objetivo de reforçar a proteção dos ativos dos investidores, apresentando uma estrutura de segurança em três níveis para responder à nova evolução das ciberameaças. O plano subsequente prevê a realização de testes de penetração junto dos principais operadores e a revisão das orientações para elevar os padrões de segurança.
GateNews10h atrás
A HypurrFi terá sido alvo de um possível sequestro de domínio, e a equipa do projeto alerta os utilizadores para interromperem o uso do site oficial
O protocolo de empréstimos DeFi HypurrFi emitiu um aviso de segurança, afirmando que o seu domínio do site foi comprometido. Avisa os utilizadores para não utilizarem esse domínio e para suspenderem a interação. A equipa confirma que os fundos dos utilizadores estão seguros e está a investigar o incidente de sequestro do domínio.
GateNews13h atrás
O X de Elon Musk para Bloquear Contas Automaticamente ao Publicar Criptomoeda pela Primeira Vez
A X está a implementar uma nova funcionalidade que bloqueia automaticamente as contas com o seu primeiro post de cripto para combater ataques de phishing. Esta medida tem como objetivo reduzir a utilização indevida de contas sequestradas para burlas, ao mesmo tempo que reforça a segurança dos utilizadores.
Coinpedia18h atrás
ZachXBT acusa a Circle de $420M em «falhas de conformidade» desde 2022
O detetive on-chain ZachXBT afirma que a Circle, a entidade emissora da stablecoin USDC (USDC), falhou em congelar ou colocar em blacklist cerca de 420 milhões de dólares em fluxos de fundos ilícitos desde 2022.
A Circle pode congelar fundos ilícitos e colocar endereços de carteiras em blacklist, mas ou tomou “ação mínima” para congelar os fluxos ilícitos, ou
Cointelegraph18h atrás
A Circle é acusada de tolerar o desvio de fundos ilegais de 420 milhões de dólares! ZachXBT revela uma falha de conformidade na USDC e desencadeia polémica
A empresa norte-americana de stablecoins Circle foi acusada de não conseguir congelar eficazmente mais de 420 milhões de dólares em fundos USDC suspeitos. O investigador ZachXBT indicou que, desde 2022, a Circle atrasou a ação de congelamento em vários incidentes de pirataria, levantando dúvidas no mercado sobre a sua conformidade. O ataque ao Drift Protocol no contexto do caso colocou ainda mais as críticas à Circle no centro das atenções. O mercado apelou para que a Circle aumentasse os seus padrões de gestão de risco; em seguida, os atrasos na execução de conformidade já causaram perdas graves aos utilizadores.
ChainNewsAbmedia19h atrás
