Công ty kiểm toán an ninh blockchain OpenZeppelin đã thực hiện kiểm toán độc lập đối với tiêu chuẩn kiểm tra AI an ninh hợp đồng thông minh EVMbench do OpenAI và Paradigm hợp tác ra mắt, và phát hiện hai vấn đề nghiêm trọng: ô nhiễm dữ liệu huấn luyện và ít nhất 4 phân loại “lỗ hổng nguy hiểm cao” thực chất là giả mạo không hợp lệ.
Vấn đề ô nhiễm dữ liệu của EVMbench: Lỗ hổng quan trọng về hạn chế thời hạn huấn luyện AI
EVMbench được phát hành vào giữa tháng 2 năm 2026, nhằm đánh giá khả năng của các mô hình AI khác nhau trong việc nhận diện, sửa chữa và khai thác lỗ hổng hợp đồng thông minh. Trong quá trình thử nghiệm, quyền truy cập mạng của đại lý AI bị cắt để ngăn chặn việc tìm kiếm câu trả lời qua mạng. Tuy nhiên, kiểm toán của OpenZeppelin tiết lộ một lỗ hổng cấu trúc: tiêu chuẩn này dựa trên 120 lần kiểm tra đã thực hiện từ năm 2024 đến giữa năm 2025, và phần lớn các mô hình AI hàng đầu cũng có hạn chót đào tạo kiến thức vào giữa năm 2025.
Điều này có nghĩa là, đại lý AI có khả năng đã tiếp xúc với các báo cáo lỗ hổng của EVMbench trong giai đoạn huấn luyện trước đó, và có thể đã lưu trữ tất cả các câu trả lời trong bộ nhớ. OpenZeppelin cho biết: “Khả năng quan trọng nhất của AI an ninh là phát hiện các lỗ hổng mới trong mã mà mô hình chưa từng thấy trước đó.” Quy mô dữ liệu hạn chế càng làm tăng ảnh hưởng của ô nhiễm dữ liệu đối với toàn bộ đánh giá.
Các vấn đề chính được phát hiện trong kiểm toán EVMbench
Ô nhiễm dữ liệu huấn luyện: Đại lý AI có thể đã được huấn luyện với các báo cáo lỗ hổng của EVMbench, khiến các thử nghiệm “phát hiện không kiến thức” mất ý nghĩa
Phân loại lỗ hổng nguy hiểm cao giả mạo: Ít nhất 4 lỗ hổng được đánh dấu là nguy hiểm cao thực chất không thể khai thác
Hạn chế của hệ thống đánh giá: Trước đây, EVMbench đã tính điểm dựa trên hành vi AI phát hiện các lỗ hổng giả này, nhưng cơ sở đánh giá có vấn đề
Quy mô dữ liệu hạn chế: Tăng thêm tác động của ô nhiễm dữ liệu đối với kết quả đánh giá tổng thể
Bảng xếp hạng hiện tại: Claude 4.6 của Anthropic dẫn đầu, theo sau là OC-GPT-5.2 của OpenAI và Gemini 3 Pro của Google
Nguy cơ lỗ hổng giả: Ít nhất 4 phân loại nguy hiểm cao bị xác nhận là vô hiệu
Ngoài ô nhiễm dữ liệu, OpenZeppelin còn phát hiện các lỗi chính xác hơn. Họ đã đánh giá ít nhất 4 lỗ hổng được EVMbench xếp vào loại nguy hiểm cao, và phát hiện rằng các lỗ hổng này thực tế không tồn tại — quan trọng hơn, cách khai thác các lỗ hổng này trong mô tả hoàn toàn không thể thực hiện được.
“Đây không phải là sự khác biệt về mức độ nghiêm trọng chủ quan; mà là phát hiện ra rằng cách khai thác lỗ hổng mô tả không có hiệu quả,” OpenZeppelin nhấn mạnh. Nếu đại lý AI “phát hiện” các lỗ hổng giả này trong thử nghiệm, điều đó có nghĩa hệ thống đánh giá đang thưởng cho kết quả sai lệch.
OpenZeppelin nhấn mạnh rằng, cuộc kiểm toán này không phủ nhận tiềm năng của AI trong an ninh blockchain: “Vấn đề không phải là AI có thể thay đổi an ninh hợp đồng thông minh — chắc chắn rồi. Vấn đề là dữ liệu và tiêu chuẩn chúng ta dùng để xây dựng và đánh giá các công cụ này có phù hợp với các tiêu chuẩn mà chúng nhằm bảo vệ hay không.”
Các câu hỏi thường gặp
OpenZeppelin đã phát hiện ra vấn đề gì trong kiểm toán EVMbench?
OpenZeppelin phát hiện hai vấn đề cốt lõi: thứ nhất là ô nhiễm dữ liệu huấn luyện, vì các báo cáo lỗ hổng của EVMbench đến từ các cuộc kiểm tra trong năm 2024-2025, trùng với hạn chót huấn luyện của mô hình AI, khiến chúng có thể đã “nhìn thấy” câu trả lời trong quá trình huấn luyện; thứ hai là ít nhất 4 lỗ hổng nguy hiểm cao bị phân loại là giả mạo, mô tả cách khai thác không thể thực thi.
Tại sao ô nhiễm dữ liệu lại nguy hiểm đối với đánh giá an ninh AI như vậy?
Nếu mô hình AI đã tiếp xúc với các báo cáo lỗ hổng trong quá trình huấn luyện, nó có thể “trả lời” câu hỏi dựa trên bộ nhớ chứ không phải khả năng phát hiện lỗ hổng thực sự. Điều này làm mất ý nghĩa của thử nghiệm “không kiến thức”, không thể phản ánh chính xác khả năng kiểm tra an ninh của AI khi đối mặt với các hợp đồng thông minh mới, chưa từng thấy.
OpenZeppelin nghĩ gì về triển vọng của AI trong lĩnh vực an ninh blockchain?
OpenZeppelin rõ ràng cho biết, AI sẽ có ảnh hưởng lớn đến an ninh hợp đồng thông minh, nhưng nhấn mạnh rằng ảnh hưởng này phải dựa trên phương pháp luận đáng tin cậy và tiêu chuẩn đánh giá chính xác. Họ coi các vấn đề của EVMbench không phải là phủ nhận tiềm năng của AI, mà là một cảnh báo quan trọng đối với ngành.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Resolv Foundation tạm dừng việc nhận Airdrop mùa 4 và chức năng staking token RESOLV
Gate News thông báo, ngày 25 tháng 3, Quỹ Resolv công bố rằng, do sự cố bảo mật gần đây liên quan đến stablecoin USR của Resolv Labs, giao thức và các ứng dụng đã bị tạm dừng, chức năng nhận airdrop Season 4 tạm thời không khả dụng, chức năng staking và unstaking của token RESOLV cũng tạm thời không khả dụng. Khi kế hoạch phục hồi giao thức được xác định cuối cùng và ứng dụng có thể được sử dụng an toàn một lần nữa, các chức năng liên quan sẽ được khôi phục.
GateNews9giờ trước
ZachXBT: Người môi giới OTC người Nga bị nghi ngờ hỗ trợ rửa tiền ransomware hơn 4,7 triệu đô la, tiền được chuyển qua cầu BTC đến Avalanche
Nhà thám tử chuỗi khối ZachXBT tiết lộ, nhân viên môi giới OTC người Nga Aleksandr Khinkis bị nghi ngờ hỗ trợ rửa tiền từ phần mềm tống tiền trị giá 4,7 triệu đô la kể từ tháng 7 năm 2025, liên quan đến 796 bitcoin. Các quỹ nghi ngờ được chuyển qua chuỗi sang Avalanche và gửi vào Aave, hoạt động thường xuyên ở Đông Nam Á và Úc. ZachXBT kêu gọi các nạn nhân báo cáo các địa chỉ liên quan để nâng cao hiệu quả đóng băng.
GateNews10giờ trước
Chồng kiện vợ vì trộm hơn 2.000 Bitcoin! Thẩm phán: Khả năng thắng kiện của nguyên đơn rất cao
Tòa án cao cấp Anh đang xét xử một vụ án liên quan đến trộm cắp Bitcoin, trong đó nguyên đơn cáo buộc vợ đang ly thân của mình đã bí mật trộm cắp 2,323枚 Bitcoin vào năm 2023. Trong vụ án này, nguyên đơn đã sử dụng bằng chứng ghi âm để chứng minh bị đơn và chị gái của bị đơn có kế hoạch chuyển giao Bitcoin. Thẩm phán cho rằng nguyên đơn có khả năng thắng kiện cao, ra lệnh phong tỏa tài sản và bác bỏ một phần yêu cầu kiện, đề nghị tiến hành phiên tòa sớm nhất.
区块客12giờ trước
Resolv: Ví USR trước khi phá sản đã chuộc lại hơn 77 triệu đô la tiền
BlockBeats thông báo, vào ngày 25 tháng 3, Resolv công bố cập nhật mới nhất về sự cố bị tấn công, trong hai ngày qua, ví USR có nguy cơ thanh lý trước đã hoàn lại hơn 77 triệu đô la tiền, chiếm hơn 90% tổng số tiền của nhóm này, giai đoạn đầu tiên công tác phục hồi đã đạt được tiến triển lớn.
Bước tiếp theo:
• Quy trình hoàn lại tiền cho nhóm này đang được hoàn thành tích cực;
• Công tác giai đoạn tiếp theo đã được khởi động, sẽ bao gồm các nhóm người dùng còn lại khác.
BlockBeatNews12giờ trước
500 Bitcoin được chuyển giao, Europol phá vỡ ví cũ
Clifton Collins's partially held Bitcoin has attracted attention again, with 500 bitcoins successfully transferred to a new address, sparking speculation about the method of private key acquisition. This transfer involved multiple wallets, with enhanced tracking capabilities from law enforcement agencies, while also alerting Bitcoin holders to strengthen private key management.
GateNews12giờ trước
Nhà buôn ma túy 500 bitcoin "lộ diện"! Đằng sau là một hoạt động truy cản tài sản
Cảnh sát Ireland đã thành công phá vỡ ví Bitcoin của một tên buôn ma túy bị kết tội, tịch thu 500 Bitcoin với giá trị thị trường vượt quá 35,6 triệu đô la. Những tài sản này thuộc về tên buôn ma túy Clifton Collins, những tài sản này đã không thể tiếp cận được nhiều năm do mất khóa riêng. Với sự hỗ trợ của Europol, cảnh sát đã lấy lại quyền kiểm soát và có thể sẽ tìm lại được nhiều Bitcoin hơn trong tương lai.
区块客13giờ trước
