EVMbench: Evaluating AI Agents on Smart Contract Security

Ce papier présente EVMbench, une nouvelle méthode d'évaluation mesurant la capacité des agents IA à détecter, corriger et exploiter des vulnérabilités dans des contrats intelligents, révélant qu'ils sont déjà capables d'attaquer des instances de blockchain réelles de bout en bout.

L'essentiel

🛡️ EVMbench : Le "Grand Jeu de la Sécurité" pour les Intelligences Artificielles

Imaginez que le monde des cryptomonnaies (comme l'Ethereum) est une banque géante et invisible, où l'argent est géré non pas par des humains, mais par des robots très stricts appelés contrats intelligents (smart contracts).

Ces robots sont programmés pour être parfaits : ils exécutent exactement ce qu'on leur dit, sans jamais se tromper, sans dormir et sans pouvoir être arrêtés une fois lancés. Le problème ? Si un humain fait une petite erreur de code (une faille), le robot peut se faire voler des milliards de dollars en une seconde, et il est impossible de récupérer l'argent.

Aujourd'hui, les Intelligences Artificielles (IA) deviennent très douées pour écrire du code. La grande question est : Si on laisse une IA seule face à ces robots bancaires, va-t-elle réussir à les protéger ou va-t-elle réussir à les voler ?

C'est là qu'intervient EVMbench.

🎮 Le Concept : Un Terrain de Jeu en Trois Actes

Les chercheurs ont créé un "stade de sport" virtuel pour tester les IA. Au lieu de simplement leur poser des questions, ils les mettent dans une situation réelle où elles doivent jouer trois rôles différents, un peu comme dans un jeu vidéo de super-héros et de méchants :

1. Le Détective (Mode "Detect") 🕵️‍♀️

• La mission : L'IA doit lire des milliers de lignes de code et trouver les failles cachées avant que quelqu'un ne les utilise.
• L'analogie : C'est comme un inspecteur de police qui doit fouiller une maison pour trouver toutes les serrures cassées ou les fenêtres mal fermées.
• Le défi : Il ne suffit pas de trouver une faille. L'IA doit en trouver toutes, sinon le voleur pourrait passer par celle qu'elle a oubliée.

2. Le Réparateur (Mode "Patch") 🔧

• La mission : Une fois les failles trouvées, l'IA doit réparer le code pour que la faille disparaisse, mais sans casser le fonctionnement normal de la maison.
• L'analogie : Imaginez que vous devez changer une serrure défectueuse, mais sans que la porte ne se coince et sans que les habitants ne puissent plus entrer.
• Le défi : Si l'IA répare trop fort, elle bloque tout le monde. Si elle répare trop faiblement, le voleur peut toujours entrer.

3. Le Voleur (Mode "Exploit") 🦹‍♂️

• La mission : C'est la partie la plus dangereuse. L'IA doit réellement essayer de voler l'argent en utilisant les failles qu'elle a trouvées, dans un environnement simulé mais réaliste.
• L'analogie : C'est comme un cambrioleur professionnel qui doit non seulement trouver la faille, mais aussi réussir à ouvrir la porte, prendre l'argent et s'échapper sans se faire prendre, le tout en temps réel.
• Le résultat : Si l'IA réussit, cela prouve qu'elle est dangereuse. Si elle échoue, c'est une bonne nouvelle pour la sécurité.

🏆 Ce que les chercheurs ont découvert

Ils ont mis en compétition les IA les plus puissantes du monde (comme GPT-5, Claude, Gemini) sur ce terrain de jeu. Voici les résultats clés :

1. Elles sont devenues très dangereuses : Les meilleures IA sont capables de trouver des failles complexes et de les exploiter pour "voler" des fonds virtuels de bout en bout. C'est une preuve que nous devons être très prudents avec l'IA dans le domaine financier.
2. Elles sont aussi de bons gardiens : Les mêmes IA qui peuvent voler sont aussi capables de réparer les failles très efficacement, parfois mieux que des humains, à condition qu'elles aient les bons outils.
3. Le problème n'est pas la réparation, c'est la recherche : Souvent, l'IA sait comment réparer une faille si on lui dit où elle se trouve. Mais le vrai défi, c'est de trouver la faille dans un code immense et complexe. C'est comme si l'IA savait réparer un moteur, mais avait du mal à trouver où est la panne dans une voiture de 1000 pièces.

💡 Pourquoi est-ce important ?

Ce papier nous dit deux choses essentielles :

• Le danger est réel : Si une IA malveillante (ou un pirate utilisant une IA) devient assez intelligente, elle pourrait vider les banques virtuelles en quelques secondes.
• L'espoir est là : Nous pouvons utiliser ces mêmes IA pour auditer et sécuriser nos systèmes avant que les méchants ne les utilisent. C'est une course de vitesse : qui sera le plus rapide, le voleur ou le gardien ?

En résumé : EVMbench est un test de stress pour voir si nos robots intelligents sont devenus des super-criminels ou des super-héros de la sécurité. Pour l'instant, ils sont capables de faire les deux, et c'est à nous de décider comment les utiliser pour protéger notre argent.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche "EVMbench: Evaluating AI Agents on Smart Contract Security", rédigé en français.

1. Problématique et Contexte

Les contrats intelligents (smart contracts) sur les blockchains publiques gèrent désormais des centaines de milliards de dollars d'actifs. La nature immuable et irréversible de ces systèmes signifie que toute vulnérabilité peut entraîner des pertes financières immédiates et massives. Avec l'amélioration des capacités des agents d'IA à lire, écrire et exécuter du code, une question critique se pose : dans quelle mesure ces agents peuvent-ils naviguer dans cet écosystème, tant pour améliorer la sécurité que pour exploiter des failles ?

Les évaluations de cybersécurité existantes se concentrent souvent sur des vulnérabilités traditionnelles (CVE) ou des sous-tâches simplifiées, ne couvrant pas le cycle complet de découverte, de correction et d'exploitation dans un environnement blockchain réaliste. Il existe un besoin urgent d'un cadre d'évaluation capable de mesurer les capacités des agents IA face aux risques économiques réels et aux mécanismes spécifiques aux blockchains (exécution déterministe, incitations économiques, interactions d'état).

2. Méthodologie : EVMbench

Les auteurs introduisent EVMbench, un cadre d'évaluation et une suite de tâches conçus pour mesurer la capacité des agents à détecter, corriger (patcher) et exploiter des vulnérabilités critiques dans des contrats intelligents de niveau production.

A. Constitution du Dataset

• Source : 117 vulnérabilités de haute sévérité curatées à partir de 40 audits distincts réalisés sur la plateforme Code4rena et d'autres sources (comme le protocole Tempo).
• Critères : Seules les vulnérabilités pouvant entraîner une perte directe de fonds utilisateurs ou de plateforme sont retenues.
• Environnement : Les tâches sont exécutées dans des conteneurs Docker isolés (Ubuntu 24.04) avec accès aux outils de développement (ex: Foundry) mais sans accès internet.

B. Trois Modes d'Évaluation Distincts

Le benchmark évalue les agents selon trois modes, chacun avec une méthode de notation spécifique :

1. Mode Détection (Detect) :

   • Objectif : L'agent doit auditer un dépôt de code et produire un rapport identifiant toutes les vulnérabilités de haute sévérité.
   • Notation : Un juge basé sur un modèle (LLM) compare le rapport de l'agent au rapport d'audit "vérité terrain" (ground-truth). La note est le pourcentage de vulnérabilités correctement identifiées.
   • Récompense : Une récompense financière simulée est attribuée basée sur les paiements historiques des audits.

2. Mode Correction (Patch) :

   • Objectif : L'agent doit modifier le code source pour corriger les vulnérabilités trouvées.
   • Notation : Le code corrigé est compilé et testé. Les tests existants (sauf ceux dépendant de la logique vulnérable) doivent passer, et des tests d'exploitation invisibles (oracle) doivent échouer.
   • Contrainte : L'agent ne doit pas casser la fonctionnalité existante.

3. Mode Exploitation (Exploit) :

   • Objectif : C'est le mode le plus réaliste. L'agent reçoit une clé privée financée et un point de terminaison RPC. Il doit analyser la chaîne, déployer des contrats auxiliaires si nécessaire, et exécuter une séquence de transactions pour exploiter la faille et drainer des fonds.
   • Notation : Basée sur l'état de la blockchain. Un framework Rust réexécute les transactions de l'agent dans un conteneur de notation isolé et vérifie les changements de solde et les événements émis.
   • Sécurité : L'environnement est durci (via un proxy "veto") pour empêcher l'agent d'utiliser des méthodes RPC de développement (comme anvil_setBalance) qui fausseraient le test.

3. Contributions Clés

• Premier Benchmark End-to-End : EVMbench est le premier à évaluer le cycle complet (Détection, Correction, Exploitation) sur des contrats réels avec une notation entièrement programmatique et basée sur l'état de la blockchain.
• Infrastructure de Ré-exécution : Développement d'un framework en Rust (ploit et veto) permettant de déployer des instances locales d'Ethereum (Anvil), de rejouer les transactions des agents et de garantir l'isolation et la reproductibilité des évaluations d'exploitation.
• Données Réalistes : Création d'un ensemble de tâches basé sur des audits réels, incluant des scripts d'exploitation et de correction (oracle) pour valider les résultats.
• Analyse des Capacités : Évaluation comparative de plusieurs agents de pointe (GPT-5, Claude Opus, Gemini, etc.) et analyse qualitative de leurs échecs et réussites.

4. Résultats Expérimentaux

Les auteurs ont évalué plusieurs modèles de pointe (OpenAI o3, GPT-5, GPT-5.3-Codex, Claude Opus 4.5/4.6, Gemini 3 Pro).

• Performance Globale : Les agents les plus avancés (notamment GPT-5.3-Codex et Claude Opus 4.6) montrent des capacités significatives.
  • Détection : Claude Opus 4.6 obtient le meilleur score (45,9 %).
  • Correction : GPT-5.3-Codex excelle (41,7 %).
  • Exploitation : GPT-5.3-Codex domine avec 71,0 % de réussite, démontrant sa capacité à exécuter des attaques complexes de bout en bout.
• Impact des Indices (Hints) : L'ajout d'indices (fournissant des indices sur les fichiers ou les mécanismes vulnérables) améliore considérablement les performances, en particulier dans les modes Correction et Exploitation. Cela suggère que la découverte de la vulnérabilité dans de vastes bases de code est le goulot d'étranglement principal, plutôt que la capacité à corriger ou à construire l'exploit une fois la faille identifiée.
• Couverture vs Victoire Isolé : Les résultats montrent que les modèles peuvent réussir à exploiter une vulnérabilité spécifique tout en manquant d'autres failles critiques dans le même code. La couverture complète reste un défi majeur.
• Efficacité des Tokens : GPT-5.3-Codex atteint des scores élevés tout en restant efficace en termes de nombre de tokens générés.

5. Signification et Implications

• Risque de Sécurité Élevé : Le fait que des agents IA puissent exploiter des contrats intelligents de manière autonome et end-to-end sur une instance de blockchain locale confirme que les systèmes d'IA avancés représentent une menace économique tangible. Ils pourraient potentiellement financer des opérations malveillantes via des hacks automatisés.
• Nécessité de Défense Proactive : Ces résultats soulignent l'urgence de développer des outils de sécurité IA pour aider les auditeurs humains à identifier et corriger les failles avant le déploiement.
• Évaluation Continue : EVMbench fournit une base standardisée pour suivre l'évolution des capacités offensives et défensives des agents IA, essentielle pour la prise de décision en matière de déploiement et la recherche en sécurité.
• Limites : L'étude note que les résultats ne reflètent pas la totalité des bugs potentiels sur la blockchain (le dataset est curaté) et que l'environnement d'évaluation, bien que réaliste, ne capture pas encore toutes les complexités des interactions inter-chaînes ou de l'ordre des transactions (MEV) dans un réseau de production réel.

En conclusion, EVMbench établit un nouveau standard pour l'évaluation de la sécurité des agents IA dans le domaine de la blockchain, démontrant à la fois le potentiel de ces technologies pour renforcer la sécurité et le danger qu'elles représentent si elles sont utilisées à des fins malveillantes. Le code et les données sont open-source pour favoriser la recherche future.