شركة تدقيق أمن البلوكتشين OpenZeppelin أجرت تدقيقًا مستقلًا لمعيار اختبار أمان العقود الذكية AI الذي أطلقته بالتعاون مع OpenAI و Paradigm، واكتشفت مشكلتين خطيرتين رئيسيتين: تلوث البيانات التدريبية ووجود ما لا يقل عن 4 تصنيفات “ثغرات عالية الخطورة” في الواقع غير فعالة أو مزورة.
مشكلة تلوث البيانات في EVMbench: ثغرة حاسمة في تاريخ انتهاء تدريب AI
تم إصدار EVMbench في منتصف فبراير 2026 بهدف تقييم قدرة نماذج الذكاء الاصطناعي المختلفة على التعرف على الثغرات في العقود الذكية وتصحيحها واستغلالها، وخلال الاختبار تم قطع صلاحية وصول الوكيل الذكي إلى الإنترنت لمنعه من البحث عن الإجابات عبر الشبكة. ومع ذلك، كشف تدقيق OpenZeppelin عن ثغرة هيكلية: أن المعيار يعتمد على الثغرات التي تم فحصها خلال 120 عملية تدقيق بين عامي 2024 و2025، وغالبية نماذج AI الرائدة كانت قد انتهت من تدريبها قبل ذلك، مع تحديد موعد انتهاء التدريب في منتصف 2025.
هذا يعني أن الوكيل الذكي ربما يكون قد تعرض مسبقًا لتقارير ثغرات EVMbench أثناء فترة التدريب، وأن ذاكرته قد تكون مخزنة فيها إجابات جميع الأسئلة. وذكر OpenZeppelin: «أهم قدرة للأمان في AI هي اكتشاف ثغرات جديدة في الكود لم يسبق للنموذج رؤيتها من قبل.» حجم مجموعة البيانات المحدود يزيد من تأثير التلوث على التقييم الكلي.
المشكلات الرئيسية التي كشف عنها تدقيق EVMbench
- تلوث البيانات التدريبية: من المحتمل أن يكون الوكيل الذكي قد تدرب على تقارير ثغرات EVMbench، مما يجعل اختبار “المعرفة الصفرية” غير ذي معنى.
- تصنيفات الثغرات عالية الخطورة غير فعالة: على الأقل 4 ثغرات مصنفة على أنها عالية الخطورة غير قابلة للاستغلال في الواقع.
- عيوب نظام التقييم: كانت درجات EVMbench تعتمد سابقًا على اكتشاف AI لهذه الثغرات المزورة، مما يثير تساؤلات حول أساس التقييم.
- حجم مجموعة البيانات محدود: مما زاد من تأثير التلوث على نتائج التقييم بشكل أكبر.
- الترتيب الحالي: يتصدر Claude 4.6 من Anthropic، يليه OC-GPT-5.2 من OpenAI و Gemini 3 Pro من Google.
أزمة الثغرات المزورة: تأكيد عدم فاعلية 4 تصنيفات عالية الخطورة
بالإضافة إلى تلوث البيانات، اكتشفت OpenZeppelin أخطاءً أكثر تحديدًا. قاموا بتقييم 4 ثغرات على الأقل مصنفة على أنها عالية الخطورة من قبل EVMbench، وتبين أن هذه الثغرات غير موجودة في الواقع — والأهم من ذلك، أن طرق استغلالها الموصوفة غير قابلة للتنفيذ.
قالت OpenZeppelin: «هذه ليست خلافات في مدى الخطورة بشكل شخصي، بل أن طرق استغلال الثغرات الموصوفة لم تنجح في الواقع.» إذا اكتشف الوكيل الذكي هذه الثغرات المزورة خلال الاختبار، فهذا يعني أن نظام التقييم يثيب نتائج خاطئة.
وأكدت OpenZeppelin أن هذا التدقيق لا ينفي إمكانيات AI في أمن البلوكتشين: «المشكلة ليست في أن AI سيغير أمان العقود الذكية — بالتأكيد سيحدث ذلك. المشكلة في أن البيانات والمعايير التي نبني عليها أدواتنا وتقييمنا يجب أن تتوافق مع المعايير التي تهدف إلى حماية العقود بها.»
الأسئلة الشائعة
ماذا اكتشفت OpenZeppelin في تدقيق EVMbench؟
اكتشفت مشكلتين رئيسيتين: أولًا، تلوث البيانات التدريبية، حيث أن ثغرات EVMbench تأتي من تقارير تدقيق بين 2024 و2025، والتي تتداخل مع موعد انتهاء تدريب نماذج AI، مما قد يجعلها تتذكر الإجابات مسبقًا؛ ثانيًا، أن 4 تصنيفات على الأقل لثغرات عالية الخطورة غير فعالة، حيث أن طرق استغلالها غير قابلة للتنفيذ.
لماذا يعتبر تلوث البيانات خطيرًا جدًا على تقييم أمان AI؟
إذا كانت نماذج AI قد تعرضت مسبقًا لتقارير الثغرات أثناء التدريب، فهي قد تعتمد على الذاكرة «للإجابة» على الأسئلة بدلاً من اكتشاف الثغرات فعليًا. هذا يفسد مفهوم اختبار “المعرفة الصفرية”، ويجعل التقييم غير قادر على قياس قدرة AI على فحص العقود الذكية الجديدة بشكل حقيقي.
ما هو موقف OpenZeppelin من مستقبل AI في مجال أمان البلوكتشين؟
أوضحت OpenZeppelin أن AI ستؤثر بشكل كبير على أمان العقود الذكية، لكن هذا التأثير يجب أن يبنى على منهجية موثوقة وتقييم دقيق. وأكدت أن مشكلة EVMbench ليست نفي إمكانيات AI، بل تحذير مهم لصناعة المعايير.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تستخدمه مؤسسة إيثريوم أيضًا! تم اختراق الواجهة الأمامية لـ CoW Swap، ويُنصح خبراء DeFi بإلغاء (revoke) الأذونات
تعرض منصة DeFi في إيثريوم CoW Swap لعملية اختطاف DNS في 14 أبريل، مما قد يعرّض المستخدمين لخطر التصيد الاحتيالي. ورغم أن البروتوكول نفسه لم يُخترق، فإن مخاطر هجوم الواجهة الأمامية لا تزال مرتفعة. تنصح الصناعة المستخدمين بإلغاء الأذونات قبل اتخاذ أي إجراءات مستقبلية. توفر CoW Swap ميزة المعاملات الدفعية، وتتصدى لهجمات MEV، وقد يؤثر حدثها الأمني على نظام DeFi البيئي بأكمله.
ChainNewsAbmediaمنذ 26 د
مؤسسة الواجهة الأمامية لـ Cowswap تحت الهجوم، ويتم حث المستخدمين على إلغاء الأذونات
نظام الأمان الخاص بـ Blockaid اكتشف هجومًا من واجهة أمامية على Cowswap، مع وسم موقع الويب COW.FI على أنه ضار. يُنصح المستخدمون بإلغاء أذونات المحفظة وتجنب التفاعل مع DApp.
GateNewsمنذ 3 س
تقوم Polymarket بمراجعة المشاريع الناشئة داخل نظامها البيئي، وتكافح التداول من الداخل وأعمال التلاعب بالسوق
بوليماركت تعلن إجراء تدقيق لبعض المشاريع الناشئة التي قامت بربطها، والتي يُزعم أنها تستخدم معلومات الحسابات المشتبه بأنها تابعة لتداول بناءً على معلومات داخلية لتوجيه المستخدمين نحو التداول. يهدف هذا الإجراء إلى تعزيز إدارة الامتثال، والرد على القلق الخارجي بشأن مخاطر التداول بناءً على معلومات داخلية.
GateNewsمنذ 6 س
في الربع الأول من عام 2026، تكبدت مشاريع Web3 خسائر تزيد عن 460 مليون دولار بسبب اختراقات وعمليات احتيال، وتشكّل هجمات التصيّد الاحتيالي الجزء الأكبر منها
توضح التقارير الصادرة عن Hacken أن مشاريع Web3 في الربع الأول من عام 2026 تكبدت خسائر بقيمة 4.645 مليار دولار بسبب هجمات القراصنة والاحتيال، كما بلغت خسائر هجمات التصيد الاحتيالي والهندسة الاجتماعية 3.06 مليار دولار، وتسببت عمليات الاحتيال المتعلقة بمحافظ الأجهزة في معظم الخسائر كذلك. إضافة إلى ذلك، أدت الثغرات في العقود الذكية وفشل ضوابط الوصول إلى خسائر كبيرة. ومن ناحية التنظيم، عزز الإطار القانوني الأوروبي متطلبات المراقبة الأمنية.
GateNewsمنذ 10 س
RAVE تجتاح وتفجّر جنون العملات المقلّدة في السوق، بينما تكشف FF و INX أساليب «الضخّ ثمّ التفريغ»
أثارت العملات البديلة، التي يتصدرها مؤخرًا RAVE، موجة استثمار حماسية شديدة، لكن بعض المشاريع النجمية القديمة مثل FF و INX استغلت هذه الموجة لتنفيذ عمليات "رفع ثم تصريف"؛ عبر الرفع السريع لسعر العملة لجذب المستثمرين الأفراد للشراء، ثم القيام بعمليات بيع كبيرة لاحقًا، ما أدى إلى هبوط حاد وسريع في الأسعار. لا تكشف هذه الأفعال فقط عن ضائقة مالية لدى الجهة المطروحة للمشروع، بل إنها أيضًا تُلحق الضرر بثقة المستثمرين. يجب على المستثمرين الانتباه إلى إشارات مثل الارتفاع غير المعتاد على المدى القصير، لتجنب مخاطر التلاعب بالسوق.
MarketWhisperمنذ 13 س
عملت الشرطة الفيدرالية الأمريكية (FBI) واندونيسيا معًا على تعطيل شبكة تصيّد إلكتروني تابعة لـ W3LL، حيث تشمل القضية أموالًا بأكثر من 20 مليون دولار أمريكي
تعاون مكتب التحقيقات الفيدرالي الأمريكي والشرطة الإندونيسية بنجاح للإطاحة بشبكة تصيّد احتيالي من نوع W3LL عبر الإنترنت، حيث تم ضبط المعدات ذات الصلة واعتقال المشتبه بهم. يتم تقديم مجموعة أدوات تصيّد احتيالي من نوع W3LL بأسعار منخفضة لصفحات تسجيل دخول مزيفة، واستخدام هجمات الرجل-في-الوسط لتجاوز التحقق متعدد العوامل بسهولة، ما يكوّن نظامًا إجراميًا على الإنترنت منظّمًا. تشير هذه العملية إلى تعاون أمريكي-إندونيسي في إنفاذ مكافحة الجرائم الإلكترونية، غير أن تهديدات الأمان لا تزال جسيمة بالنسبة لمستخدمي العملات المشفّرة.
MarketWhisperمنذ 17 س
