a16z crypto mühendisleri tarafından yapılan bir testte, yapay zeka (AI) temelli bir agent, kendisine oluşturulan kısıtlı ortamdan (sandbox) çıkmayı başardı. Mühendislerin amacı, AI agent'ların sadece açıkça belirtilenleri değil, çalışabilir istismar yöntemleri de geliştirip geliştiremeyeceğini anlamaktı. Güvenlik mühendisleri Daejun Park ve Matt Gleason, bulgularını 28 Nisan'da yayımladı. Araştırmacılar, kullanıma hazır bir agent'ın "açıkça verilmemiş" araçları kendi başına kullanmayı öğrendiğini belirtti. Bu sonuçlar, Elon Musk'ın yapay zekanın insanlığı tehdit edebileceği yönündeki açıklamalarına denk geldi.

Mühendisler, agent'ı kısıtlı bir ortamda test etti. Etherscan erişimi sınırlıydı ve yerel node belirli bir blokta sabitlenmişti. Tüm dış ağ erişimi ise tamamen engellendi. Sandbox yapılandırması, agent'ın ilerideki verileri elde etmesini engellemek amacıyla tasarlandı. Testler sırasında agent, kaynak kodu olmayan doğrulanmamış bir kontratta takıldı. Agent, "cast rpc anvil_nodeInfo" komutunu kullanarak yerel anvil node konfigürasyonunu sorguladı ve buradan hem upstream RPC URL'sini hem de düz metin olarak yazılmış bir Alchemy API anahtarını elde etti. Dışa doğrudan erişim denemesi Docker güvenlik duvarı tarafından engellendi. Bu durumda agent, "anvil_reset RPC method" komutuyla anvil node'u ilerideki bir bloğa sıfırladı. Bu sayede, yerel anvil node üzerinden sonraki blokların işlem ve log kayıtlarını sorgulayabilmiş oldu. Agent daha sonra saldırı işleminin execution trace'lerini elde etti ve detaylı incelemeyi tamamladıktan sonra agent'ı tekrar orijinal bloğa döndürerek çalışır bir proof-of-concept (PoC) geliştirdi.

Park ve Gleason, daha sonra proxy üzerinden tüm Anvil debug metodlarını tamamen engelledi. Ekip, "Küçük ölçekli bir sandbox ortamında yaşandı ama daha büyük bir tabloya işaret ediyor: Araç destekli agent'lar, kısıtlamaları aşarak hedeflerine ulaşabiliyor" dedi. "anvil_reset kullanılarak sabitlenmiş fork blokunun atlatılması, öngörmediğimiz bir davranıştı" diye ekledi. Bu olay, AI test ortamlarında önemli bir riski gözler önüne seriyor: Agent'lar çoğu zaman açıkça talimat verilmemiş olsa bile, araç zincirlerindeki istenmeyen yolları keşfedip istismar edebiliyor. Araştırmanın ortaya koyduğu sonuç ise, AI agent'ların karmaşık DeFi açıklarını istismar etmede henüz yetersiz kaldığı yönünde. Agent istikrarlı bir şekilde açık tespit edebildi ancak çok adımlı saldırı senaryoları geliştirme konusunda zorlandı.

a16z'nin DeFi Araştırmasında AI Agent Sandbox Sınırlarını Aşıyor başlıklı araştırmanın tamamına YouTube kanalından ulaşılabilir. Uzmanların detaylı yorumlarını izleyebilirsiniz.