A empresa de auditoria de segurança de blockchain OpenZeppelin realizou uma auditoria independente ao padrão de teste de IA de segurança de contratos inteligentes EVMbench, lançado em colaboração com OpenAI e Paradigm, e identificou duas questões graves: contaminação de dados de treino e pelo menos 4 vulnerabilidades marcadas como “alto risco” que, na realidade, são falsificações inválidas.
Problema de contaminação de dados do EVMbench: uma vulnerabilidade crítica na data de corte do treino de IA
O EVMbench foi lançado em meados de fevereiro de 2026, com o objetivo de avaliar a capacidade de diferentes modelos de IA em identificar, corrigir e explorar vulnerabilidades de contratos inteligentes. Durante os testes, o acesso à internet dos agentes de IA foi bloqueado para evitar buscas online por respostas. No entanto, a auditoria da OpenZeppelin revelou uma falha estrutural: o padrão de teste baseia-se em vulnerabilidades identificadas em 120 auditorias realizadas entre 2024 e meados de 2025, período em que a maioria dos principais modelos de IA também teve seu conhecimento treinado até essa data.
Isso significa que os agentes de IA provavelmente tiveram acesso às vulnerabilidades do EVMbench durante seu pré-treinamento, armazenando as respostas na memória. A OpenZeppelin afirmou: “A habilidade mais importante de segurança de IA é descobrir vulnerabilidades em códigos que o modelo nunca viu antes.” A limitação do tamanho do conjunto de dados aumenta ainda mais o impacto da contaminação na avaliação geral.
Principais problemas identificados na auditoria do EVMbench
- Contaminação de dados de treino: o pré-treinamento dos agentes de IA pode incluir relatórios de vulnerabilidades do EVMbench, tornando a avaliação de “descoberta zero” sem sentido.
- Classificação inválida de vulnerabilidades de alto risco: pelo menos 4 vulnerabilidades marcadas como de alto risco são, na verdade, inexploráveis.
- Defeitos no sistema de pontuação: o EVMbench anteriormente atribuía pontos às descobertas dessas vulnerabilidades falsas, o que compromete a validade da avaliação.
- Tamanho limitado do conjunto de dados: amplifica o impacto da contaminação nos resultados globais.
- Classificação atual no ranking: Claude 4.6 da Anthropic lidera, seguido por OC-GPT-5.2 da OpenAI e Gemini 3 Pro do Google.
Crise de vulnerabilidades falsas: pelo menos 4 classificações de alto risco comprovadamente inválidas
Além da contaminação de dados, a OpenZeppelin identificou erros mais específicos. Avaliaram pelo menos 4 vulnerabilidades marcadas como de alto risco pelo EVMbench, que na realidade não existem — e, mais importante, suas descrições de exploração são inviáveis.
A OpenZeppelin afirmou: “Não se trata de uma divergência subjetiva de gravidade; as vulnerabilidades descritas simplesmente não funcionam.” Se um agente de IA “descobrir” essas vulnerabilidades falsas durante o teste, isso indica que o sistema de avaliação recompensa resultados incorretos.
A empresa destacou que esta auditoria não nega o potencial da IA na segurança de blockchain: “O problema não é se a IA mudará a segurança dos contratos inteligentes — ela certamente mudará. O problema é se os dados e padrões que usamos para construir e avaliar essas ferramentas estão alinhados com os padrões que eles pretendem proteger.”
Perguntas frequentes
O que a OpenZeppelin descobriu na auditoria do EVMbench?
A OpenZeppelin identificou duas questões principais: primeiro, a contaminação de dados, pois os relatórios de vulnerabilidades do EVMbench vêm de auditorias entre 2024 e 2025, período em que os modelos de IA também tiveram seu conhecimento treinado até lá, podendo já ter “visto” as respostas; segundo, pelo menos 4 vulnerabilidades marcadas como de alto risco que, na verdade, são falsas, pois suas explorações descritas não funcionam.
Por que a contaminação de dados é tão perigosa para a avaliação de segurança de IA?
Se o modelo de IA foi treinado com relatórios de vulnerabilidades do padrão, ele pode simplesmente “lembrar” as respostas, em vez de realmente identificar vulnerabilidades. Isso compromete a validade do teste de “zero conhecimento”, não refletindo a capacidade real do IA de auditar contratos inteligentes desconhecidos.
Qual é a postura da OpenZeppelin sobre o futuro da IA na segurança de blockchain?
A OpenZeppelin afirmou que a IA terá um impacto significativo na segurança de contratos inteligentes, mas esse impacto deve ser baseado em metodologias confiáveis e avaliações precisas. Eles veem os problemas do EVMbench como um alerta importante para o setor, não uma negação do potencial da IA.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A equipa de segurança da Ledger descobriu uma vulnerabilidade nos processadores MediaTek, que pode levar ao roubo da frase-semente da carteira
A equipa por trás da carteira de criptomoedas Ledger descobriu que a cadeia de arranque seguro do processador MediaTek apresenta uma vulnerabilidade, permitindo que atacantes, com contacto físico, extraiam chaves criptográficas, afetando cerca de 25% dos telemóveis Android. A vulnerabilidade pode ser corrigida através de um patch, mas destaca os riscos de armazenar chaves em dispositivos não seguros, recomendando aos utilizadores que atualizem prontamente.
GateNews10h atrás
A IA a escrever código falhou: Não mitifique mais a IA, a codificação do Claude causou uma perda de 1,78 milhões de dólares para a plataforma DeFi
A Moonwell protocolo de empréstimo sofreu um acidente de segurança na cadeia devido a uma configuração incorreta do oráculo, levando a uma avaliação incorreta do preço do ativo cbETH. Este incidente resultou de um erro na lógica do código gerado por IA, com o bot de liquidação aproveitando essa vulnerabilidade para obter lucros. Apesar de não ter havido uma intervenção de hackers tradicionais, os usuários sofreram uma perda de 1,78 milhões de dólares. O evento revela uma negligência na revisão do processo de programação por IA, destacando a importância da revisão humana no contexto da automação tecnológica.
PANews10h atrás
O Ministério da Indústria e Tecnologia da Informação publicou recomendações para a prevenção de riscos de segurança do agente inteligente OpenClaw, apresentando quatro estratégias de resposta para cenários de transações financeiras
11 de março, o Ministério da Indústria e Tecnologia da Informação publicou recomendações sobre a prevenção dos riscos de segurança do agente inteligente de código aberto OpenClaw, destacando os riscos potenciais nas transações financeiras, e propôs a estratégia de "seis deve e seis não deve", como implementar isolamento de rede, confirmação secundária e reforçar a auditoria da cadeia de suprimentos, para evitar transações incorretas e o sequestro de contas.
GateNews11h atrás
Aave revela uma liquidação anormal de 27 milhões de dólares, 34 contas foram forçadas a liquidar, a equipa oficial promete compensação total
Aave sofreu uma liquidação anormal em 11 de março, com aproximadamente 27 milhões de dólares em posições de empréstimo sendo afetadas devido a uma configuração incorreta do parâmetro do módulo de segurança interno CAPO, que resultou numa subestimação do valor do wstETH em 2,85%. A liquidação afetou 34 contas, com cerca de 10.938 wstETH sendo forçadamente liquidados. Chaos Labs compromete-se a compensar integralmente os utilizadores afetados e enfatiza a necessidade de melhorar os mecanismos de gestão de risco. Este incidente destaca os riscos associados a erros de configuração interna em sistemas de finanças descentralizadas.
動區BlockTempo12h atrás
Lido responde a evento de liquidação: erro de oráculo de um protocolo DeFi de empréstimo levou à liquidação, não tendo relação com o protocolo Lido
Lido respondeu ao evento de liquidação ocorrido em 10 de março devido a um erro na cotação do oráculo CAPO, afirmando que não haverá dívidas inadimplentes e que compensará integralmente os usuários afetados. O produto Lido Earn não foi afetado, e os fundos dos usuários estão seguros.
GateNews13h atrás
Presidente da BWA, Dilip Chenoy, defende a educação dos investidores e um ecossistema de criptomoedas responsável
O Presidente da BWA Dilip Chenoy participou na sessão de perguntas e respostas.
Ele pediu uma verificação independente rigorosa antes de investir em criptomoedas.
A medida imediata para as vítimas é registrar uma queixa junto das autoridades.
Dilip Chenoy, Presidente da Bharat Web3 Association (BWA), interagiu com a imprensa e pa
TheNewsCrypto16h atrás
