La société d’audit de sécurité blockchain OpenZeppelin a réalisé un audit indépendant du standard d’IA pour la sécurité des contrats intelligents, EVMbench, lancé en collaboration avec OpenAI et Paradigm, et a identifié deux problèmes majeurs : la contamination des données d’entraînement et au moins 4 vulnérabilités classées comme « à haut risque » qui s’avèrent en réalité être des faux exploits.

Problème de contamination des données d’EVMbench : une faille critique dans la date limite d’entraînement de l’IA

EVMbench, publié à la mi-février 2026, vise à évaluer la capacité de différents modèles d’IA à identifier, réparer et exploiter les vulnérabilités des contrats intelligents. Pendant le test, l’accès réseau des agents IA était coupé pour empêcher toute recherche en ligne. Cependant, l’audit de OpenZeppelin a révélé une faille structurelle : le benchmark est basé sur 120 audits réalisés entre 2024 et la mi-2025, et la majorité des modèles d’IA de pointe ont leur date de coupure des connaissances également fixée à la mi-2025.

Cela signifie que l’agent IA a probablement été exposé aux rapports de vulnérabilités d’EVMbench lors de sa phase d’entraînement, et que ses mémoires peuvent contenir les réponses à toutes ces questions. OpenZeppelin indique : « La capacité la plus importante en sécurité IA est la capacité à découvrir de nouvelles vulnérabilités dans du code que le modèle n’a jamais vu auparavant. » La taille limitée du dataset amplifie encore l’impact de cette contamination sur l’évaluation globale.

Principaux problèmes identifiés lors de l’audit d’EVMbench

Contamination des données d’entraînement : l’entraînement de l’IA pourrait inclure les rapports de vulnérabilités d’EVMbench, rendant la « découverte à zéro connaissance » inefficace.
Faux classification de vulnérabilités à haut risque : au moins 4 vulnérabilités marquées comme hautement risquées sont en réalité exploitables.
Défauts du système de notation : EVMbench attribuait des points pour la découverte de ces faux exploits, ce qui pose problème.
Taille limitée du dataset : renforçant l’impact de la contamination sur l’évaluation.
Classement actuel : Anthropic avec Claude 4.6 en tête, suivi d’OpenAI avec OC-GPT-5.2 et Google avec Gemini 3 Pro.

Crise des faux exploits : au moins 4 vulnérabilités à haut risque confirmées comme invalides

Outre la contamination des données, OpenZeppelin a identifié des erreurs factuelles plus concrètes. Ils ont évalué au moins 4 vulnérabilités classées comme hautement risquées par EVMbench, qui se sont avérées inexistantes — et plus important encore, dont les descriptions d’exploitation sont en réalité inapplicables.

« Il ne s’agit pas d’un désaccord subjectif sur la gravité ; la vulnérabilité décrite ne peut pas être exploitée, » souligne OpenZeppelin. Si l’agent IA « découvre » ces faux exploits lors du test, cela signifie que le système de notation récompense des résultats erronés.

OpenZeppelin insiste sur le fait que cet audit ne nie pas le potentiel de l’IA dans la sécurité blockchain : « Le problème n’est pas de savoir si l’IA va changer la sécurité des contrats intelligents — elle le fera sûrement. Le vrai problème, c’est si les données et les benchmarks que nous utilisons pour construire et évaluer ces outils respectent les mêmes standards que ceux qu’ils sont censés protéger. »

Questions fréquentes

Quelles problématiques OpenZeppelin a-t-il découvert dans l’audit d’EVMbench ?

OpenZeppelin a identifié deux problèmes principaux : d’une part, la contamination des données d’entraînement, car les vulnérabilités utilisées dans EVMbench proviennent d’audits réalisés entre 2024 et 2025, ce qui coïncide avec la date de coupure des connaissances des modèles d’IA, qui ont donc pu « voir » ces réponses lors de leur entraînement ; d’autre part, au moins 4 vulnérabilités classées comme hautement risquées sont en réalité des faux exploits, dont les descriptions d’exploitation sont inapplicables.

Pourquoi la contamination des données est-elle si dangereuse pour l’évaluation de la sécurité de l’IA ?

Si l’IA a été exposée lors de l’entraînement aux rapports de vulnérabilités du benchmark, elle peut répondre aux questions en se souvenant des réponses plutôt qu’en détectant réellement des vulnérabilités. Cela compromet la validité du test « à zéro connaissance » et ne reflète pas la capacité réelle de l’IA à auditer en sécurité des contrats intelligents inconnus.

Quelle est la position d’OpenZeppelin sur l’avenir de l’IA dans la sécurité blockchain ?

OpenZeppelin affirme que l’IA aura un impact significatif sur la sécurité des contrats intelligents, mais insiste sur le fait que cet impact doit reposer sur des méthodologies fiables et des évaluations précises. Ils considèrent que les problèmes d’EVMbench ne sont pas une critique de l’IA elle-même, mais un avertissement important pour l’industrie.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

Luck.io, le casino non dépositaire de Solana, ferme ; les utilisateurs invités à retirer leurs fonds immédiatement

solana news Incidents de sécurité

Message de Gate News, 24 avril — Luck.io, une plateforme de casino non dépositaire construite sur Solana, a annoncé sa fermeture le 24 avril 2026, en exhortant tous les utilisateurs à retirer immédiatement leurs soldes des Smart Vaults. Les retraits peuvent être initiés via le site web luck.io ou via l’outil de retrait du Vault à

GateNewsIl y a 2h

Sanctions américaines contre des portefeuilles crypto liés à l’Iran ; Tether gèle $344 million de USDT

USDT news Géopolitique Réglementation et politiques Mesures d’application Incidents de sécurité Données on-chain

Message de Gate News, le 24 avril — Le secrétaire au Trésor américain Scott Bessent a annoncé, jeudi, des sanctions contre plusieurs portefeuilles liés à l’Iran, dans le cadre des efforts du président Donald Trump visant à accroître la pression économique sur le pays, alors qu’un cessez-le-feu est en cours. « Nous allons suivre l’argent que Téhéran tente désespérément de déplacer en dehors du pays et cibler toutes les bouées financières liées au régime », a déclaré Bessent dans un communiqué.

GateNewsIl y a 4h

Le projet Eleven remet une récompense en BTC de Q-Day 1 : des chercheurs utilisent un ordinateur quantique pour casser une clé elliptique de 15 bits

bitcoin news Incidents de sécurité

Concentré sur la recherche de « Q-Day (le jour du piratage de la cryptographie de la blockchain par l’informatique quantique) », l’organisation à but non lucratif Project Eleven a annoncé le 4/24 qu’elle attribuerait une récompense d’1 bitcoin à un chercheur indépendant, Giancarlo Lelli. Sur du matériel d’ordinateur quantique cloud publiquement accessible, Lelli, en utilisant une variante de l’algorithme de Shor, a réussi à casser une clé de courbe elliptique de 15 bits, ce qui constitue la plus grande démonstration d’attaque quantique publique à ce jour. Envergure et signification de l’attaque 項目 Contenu Gagnant Giancarlo Lelli (chercheur indépendant) Cible de l’attaque clé de courbe elliptique de 15 bits, recherche 32,767 possibilités Utilisation matériel Ordinateur quantique cloud publiquement accessible Algorithme Shor

ChainNewsAbmediaIl y a 4h

Le chercheur casse une clé de courbe elliptique à 15 bits et remporte une prime de 1 BTC

bitcoin news ethereum news Incidents de sécurité

Le chercheur indépendant Giancarlo Lelli a dérivé une clé de courbe elliptique de 15 bits à l’aide d’un ordinateur quantique accessible au public, marquant ce que Project Eleven a qualifié de la « plus grande attaque quantique » contre la cryptographie par courbes elliptiques à ce jour, selon la startup. Project Eleven a attribué à Lelli une prime de 1 BTC,

CryptoFrontierIl y a 6h

Polymarket Ajoute la Connexion Steam, le Pirate de Balancer Échange 7 000 ETH contre du BTC, Aave Chan Propose un Coffre-fort de Dépôt

Flux de capitaux Marchés de prédiction Incidents de sécurité Données on-chain

Message des nouvelles Gate, 24 avril — Polymarket a introduit une nouvelle option de connexion via un compte Steam, élargissant les méthodes d’accès pour les utilisateurs. Saturn a augmenté ses avoirs en STRC, avec des positions totales évaluées à $33 millions. Un pirate de Balancer a converti 7 000 ETH en 204,7 BTC, soit l’équivalent d’environ 15,88 millions de dollars, sur des transferts de portefeuille.

GateNewsIl y a 9h

L’attaquant de Balancer convertit 13,191 ETH en 386.52 BTC d’une valeur de 30,54 M$

bitcoin news ethereum news Incidents de sécurité Données on-chain

Message de Gate News, 24 avril — D’après Onchain Lens, l’attaquant de Balancer (0xa6d6...BDaA) a converti 13,191 ETH en 386.52 BTC au cours des 15 dernières heures, pour une valeur d’environ 30,54 millions de dollars. L’attaquant détient actuellement un supplément de 8,000 ETH, d’une valeur d’environ 18,52 millions de dollars.

GateNewsIl y a 10h

Commentaire

0/400

Aucun commentaire