EVMbench: Evaluating AI Agents on Smart Contract Security

Dit paper introduceert EVMbench, een evaluatieframework dat de capaciteit van AI-agenten meet om kwetsbaarheden in slimme contracten te detecteren, te patchen en te exploiteren, en laat zien dat geavanceerde modellen in staat zijn om deze kwetsbaarheden end-to-end te vinden en uit te buiten.

De kern

EVMbench: De "Vuurdoop" voor AI in de Wereld van Digitale Geldkassen

Stel je voor dat smart contracts (de slimme computerprogramma's op blockchains zoals Ethereum) gigantische, onzichtbare banken zijn. Ze bewaken biljoenen dollars aan geld. Maar in tegenstelling tot een echte bank met bewakers en deuren, zijn deze digitale banken gemaakt van code. Als er één klein foutje in die code zit, kan een hacker het hele geld verdwijnen laten. En het ergste is: als het geld weg is, is het voor altijd weg. Je kunt het niet terugdraaien.

Nu worden AI-agenten (slimme computerprogramma's die zelf kunnen nadenken en acties uitvoeren) steeds beter in het lezen en schrijven van code. De vraag is: Zijn deze AI's nu al slim genoeg om deze digitale banken te beveiligen, of zijn ze juist gevaarlijk genoeg om ze te beroven?

Om dit uit te vinden, hebben onderzoekers van OpenAI, Paradigm en OtterSec EVMbench bedacht.

Wat is EVMbench eigenlijk?

Denk aan EVMbench als een gigantische, digitale "Escape Room" of een veiligheidsleerling-examen, speciaal ontworpen voor AI's. In plaats van alleen vragen te stellen, laten ze de AI's echt aan de slag gaan in een veilige, gesimuleerde wereld die precies doet wat de echte blockchain doet.

Het examen heeft drie hoofddelen (de "modes"):

1. De Detectie (De Vuurdoop):

   • De taak: De AI moet als een detective door een berg code lopen en alle mogelijke diefstalroutes vinden.
   • De analogie: Het is alsof je een AI in een gebouw laat lopen en vraagt: "Vind alle ramen die niet dicht kunnen, alle deuren die op slot zijn, en alle sleutels die onder de mat liggen."
   • Het doel: Kijk of de AI alle gevaarlijke plekken ziet, niet alleen één.

2. De Patch (De Reparateur):

   • De taak: Als de AI een fout heeft gevonden, moet hij de code direct repareren.
   • De analogie: Stel je voor dat je een lek in een dam hebt gevonden. De AI moet niet alleen het gat zien, maar ook het cement erin gooien, zodat het water niet meer lekt. Maar! Hij mag de dam niet kapot maken; de normale functies (zoals het afvoeren van water) moeten gewoon blijven werken.
   • Het doel: Kijk of de AI het probleem echt oplost zonder nieuwe problemen te creëren.

3. De Exploit (De Dief):

   • De taak: Dit is het spannendste deel. De AI krijgt een virtueel zakje met geld en moet proberen het geld van de "slachtoffer"-contracten te stelen door de fouten die hij heeft gevonden.
   • De analogie: De AI is nu de inbreker. Hij moet een plan maken, de deur openbreken, het geld pakken en wegkomen, alles binnen de regels van de simulatie.
   • Het doel: Kijk of de AI daadwerkelijk in staat is om het geld te stelen. Als hij dit kan, betekent dit dat de AI een reëel gevaar vormt voor de echte wereld.

Wat hebben ze ontdekt?

De onderzoekers hebben de beste AI's van dit moment (zoals GPT-5, Claude en Gemini) op deze test gezet. Hier zijn de belangrijkste resultaten:

• AI's zijn gevaarlijk slim: Sommige AI's waren in staat om end-to-end hacks uit te voeren. Ze vonden de fout, bedachten een plan en stalen het virtuele geld in de simulatie. Dit bewijst dat AI's nu een reëel risico vormen voor crypto-economieën.
• Het vinden van fouten is het moeilijkste: De AI's waren vaak goed in het repareren van een fout als ze wisten waar het zat. Maar het vinden van die fouten in een enorme berg code (zoals een hele stad zoeken naar één verkeerd geparkeerde auto) was nog steeds erg moeilijk.
• Hulp maakt het makkelijker: Als de onderzoekers de AI een hint gaven (bijvoorbeeld: "Kijk naar dit specifieke bestand"), werden de AI's veel beter in het vinden en repareren van fouten. Dit betekent dat de AI's de kennis hebben, maar soms moeite hebben met het zoeken in de chaos.
• Niet alle AI's zijn even goed: De AI's die specifiek zijn getraind voor coderen (zoals GPT-5.3-Codex) deden het veel beter dan de algemene AI's.

Waarom is dit belangrijk?

Dit onderzoek is een wake-up call.

• Voor de veiligheid: Het laat zien dat we AI's kunnen gebruiken om onze digitale banken veiliger te maken, voordat echte hackers het geld stelen.
• Voor het risico: Het waarschuwt dat als we AI's niet goed in de gaten houden, dezelfde technologie gebruikt kan worden om miljarden te stelen.

De conclusie in één zin:

EVMbench is de eerste echte test die laat zien dat AI's niet alleen kunnen lezen wat er op een computer staat, maar dat ze nu ook actief kunnen inbreken in de digitale wereld van geld. Het is een noodzaak om deze AI's te blijven testen, zodat we ze kunnen gebruiken als super-detectives en niet als super-dieven.

Kortom: De AI's zijn net zo slim als we dachten, maar ze zijn ook net zo gevaarlijk. We moeten ze blijven trainen om de "reparateurs" te zijn, voordat de echte "inbrekers" ze gebruiken.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "EVMbench: Evaluating AI Agents on Smart Contract Security", vertaald en samengevat in het Nederlands.

1. Probleemstelling

Publieke blockchains, en met name Ethereum, beheersen momenteel biljoenen dollars aan waarde via slimme contracten. De onomkeerbaarheid en deterministische aard van deze systemen betekenen dat kwetsbaarheden direct leiden tot aanzienlijke en permanente financiële verliezen.

Met de toenemende capaciteit van AI-agenten om code te lezen, schrijven en uitvoeren, rijst de vraag of deze systemen niet alleen kwetsbaarheden kunnen vinden om te patchen, maar ook kunnen gebruiken om exploits uit te voeren en fondsen te stelen. Bestaande benchmarks focussen vaak op traditionele cybersecurity, vereenvoudigde omgevingen of specifieke subtaken, maar missen een holistische evaluatie van de volledige cyclus: ontdekking, patchen en het uitvoeren van exploits in realistische, productie-achtige omgevingen. Er is een dringende behoefte aan een methode om deze risico's te meten en te monitoren voordat AI-systemen op grote schaal worden ingezet in de crypto-sector.

2. Methodologie: EVMbench

De auteurs introduceren EVMbench, een evaluatieframework en taakset die specifiek is ontworpen voor de Ethereum Virtual Machine (EVM). Het framework meet de vaardigheden van AI-agenten in drie distincte modi, elk met een eigen beoordelingsmechanisme:

• Detectie (Detect): De agent moet een auditrapport opstellen waarin alle hoge-risico kwetsbaarheden in een codebase worden geïdentificeerd. De beoordeling gebeurt via een model-based judge die vergelijkt of de gevonden kwetsbaarheden overeenkomen met de "ground truth" (bekende auditbevindingen).
• Patchen (Patch): De agent moet de kwetsbare code direct aanpassen om de exploits te voorkomen, zonder de functionaliteit te breken. De beoordeling is volledig programmatiek:
  • Bestaande tests (die geen kwetsbare logica gebruiken) moeten slagen.
  • Onbekende exploit-tests (die specifiek de kwetsbaarheid testen) moeten falen na de patch.
• Exploit (Exploit): Dit is de meest realistische en risicovolle modus. De agent krijgt toegang tot een gefinancierde wallet en een RPC-eindpunt naar een lokale Ethereum-keten. De agent moet een end-to-end exploit uitvoeren (transacties construeren en verzenden) om fondsen te stelen.
  • Beoordeling: Een Rust-gebaseerd framework (ploit) herhaalt de transacties van de agent in een geïsoleerde container. De beoordeling is gebaseerd op daadwerkelijke veranderingen in de ketenstatus (bijv. saldo's van wallets en emitted events).

Kernkenmerken van de dataset:

• Gebaseerd op 117 gecureerde kwetsbaarheden uit 40 verschillende audit-repositories (voornamelijk van Code4rena).
• Omvat alleen hoge-severity kwetsbaarheden die direct leiden tot verlies van gebruikers- of platformfondsen.
• De omgeving is geïsoleerd (Docker), maar realistisch (geen internettoegang, lokale blockchain met Anvil).

3. Belangrijkste Bijdragen

1. Eerste End-to-End Benchmark: EVMbench is de eerste benchmark die agenten evalueert op de volledige cyclus van smart contract security: van het vinden van bugs tot het patchen en het daadwerkelijk uitvoeren van exploits op een live blockchain-omgeving.
2. Programmatieke Beoordeling: In de Patch- en Exploit-modi is de beoordeling volledig geautomatiseerd en gebaseerd op on-chain gebeurtenissen, wat manipulatie voorkomt en reproduceerbare resultaten garandeert.
3. Rust-based Re-execution Framework: De auteurs ontwikkelden een tool (ploit en veto) die agent-transacties veilig herhaalt op een lokale node, waardoor cheat-mogelijkheden (zoals het manipuleren van de ketenstatus via niet-productie RPC-methoden) worden geblokkeerd.
4. Open Source: De dataset, de tooling en de evaluatieharness zijn open-source beschikbaar gesteld om verdere onderzoek en veiligheidsverbeteringen te stimuleren.

4. Resultaten

De auteurs evalueerden een reeks "frontier" AI-modellen (waaronder OpenAI o3, GPT-5, GPT-5.3-Codex, Claude Opus 4.5/4.6, en Gemini 3 Pro).

• Exploit Capabilities: De beste modellen (zoals GPT-5.3-Codex en Claude Opus 4.6) zijn in staat om end-to-end exploits uit te voeren tegen live blockchain-instanties. GPT-5.3-Codex scoorde 71,0% op de Exploit-modus.
• Patch Capabilities: Modellen kunnen kwetsbaarheden patchen, maar de prestaties zijn lager dan bij het uitvoeren van exploits. GPT-5.3-Codex scoorde hier 41,7%.
• Detectie: Hier scoorde Claude Opus 4.6 het hoogst met 45,9%.
• Invloed van Hints: De experimenten toonden aan dat de grootste bottleneck vaak het ontdekken van de kwetsbaarheid is in grote codebases, niet het begrijpen van de exploit of het patchen. Wanneer agenten hints kregen over de locatie of het mechanisme van de bug, steeg de score voor Patch en Exploit drastisch (bijv. van ~39% naar ~90% voor Patch bij GPT-5.2 met hints).
• Token-efficiëntie: GPT-5.3-Codex behaalde de hoogste scores terwijl het relatief weinig tokens verbruikte, wat wijst op efficiëntere redenering.

Conclusie van de resultaten: Hoewel AI-agenten nog niet alle kwetsbaarheden vinden, zijn de meest geavanceerde modellen al capabel genoeg om kritieke exploits end-to-end uit te voeren. Dit betekent dat de dreiging van AI-gestuurde hacks reëel is.

5. Betekenis en Conclusie

EVMbench biedt een cruciaal inzicht in de huidige staat van AI-vaardigheden in de blockchain-veiligheid:

• Risico: De capaciteit van AI om exploits uit te voeren is al voldoende om aanzienlijke financiële schade te veroorzaken. De "dark forest" van Ethereum is kwetsbaar voor geautomatiseerde AI-aanvallen.
• Defensie: Tegelijkertijd kunnen dezezelfde agenten worden ingezet om kwetsbaarheden te vinden en te patchen voordat ze worden uitgebracht, wat essentieel is voor de schaalbare beveiliging van DeFi-protocollen.
• Toekomst: De auteurs benadrukken dat de evaluatie niet alleen moet focussen op het vinden van bugs, maar ook op de diepte van de review (het vinden van alle bugs in een codebase) en de agent-architectuur (scaffolding en tools) die de prestaties beïnvloedt.

Het paper concludeert dat EVMbench een noodzakelijke standaard is om de voortgang van AI-veiligheidsvaardigheden te meten en om de ontwikkeling van defensieve maatregelen te sturen voordat AI-systemen op grote schaal in de financiële infrastructuur worden geïntegreerd.