Anthropic สั่นสะเทือนวงการบล็อกเชน! เปิดผลวิจัยสุดระทึกชี้ชัด “AI อัจฉริยะ” กลายเป็นดาบสองคมที่น่ากลัวที่สุด หลังทดสอบโมเดลตัวท็อปอย่าง Claude Opus 4.5 และ GPT-5 พบขีดความสามารถเจาะระบบ Smart Contract ได้อย่างแม่นยำ กวาดทรัพย์สินจำลองมูลค่ากว่า 4.6 ล้านดอลลาร์ หรือราว 160 ล้านบาท เผยต้นทุนการโจมตีต่ำลงสวนทางความรุนแรงที่เพิ่มขึ้น เตือนแพลตฟอร์ม DeFi ทั่วโลกตกอยู่ในความเสี่ยง หากไม่เร่งใช้นวัตกรรมเดียวกันอุดรูรั่วก่อนสายเกินแก้
Anthropic ผู้พัฒนาปัญญาประดิษฐ์ชั้นนำ ได้เปิดเผยข้อมูลที่สร้างแรงกระเพื่อมครั้งใหญ่ให้กับวงการความปลอดภัยไซเบอร์และโลกการเงินไร้ตัวกลาง (DeFi) โดยระบุว่าระบบ AI อันทรงพลังในปัจจุบันสามารถค้นหาจุดอ่อนในแอปพลิเคชันบล็อกเชน และเปลี่ยนช่องโหว่นั้นให้กลายเป็นการโจมตีที่สร้างผลกำไรมหาศาลได้จริง
ในการศึกษาล่าสุดร่วมกับ MATS และ Anthropic Fellows ทีมวิจัยได้ทดสอบขีดความสามารถของ “AI Agents” บนเกณฑ์มาตรฐานที่เรียกว่า SCONE-bench (Smart CONtracts Exploitation) ซึ่งถูกสร้างขึ้นจากสัญญาอัจฉริยะ (Smart Contracts) จำนวน 405 รายการ ที่เคยถูกแฮกจริงในช่วงระหว่างปี 2020 ถึง 2025
ผลการจำลองสถานการณ์โดยใช้โมเดล AI ชั้นนำ 10 รุ่น พบว่าเหล่า AI สามารถเจาะระบบสัญญาอัจฉริยะได้สำเร็จเกินครึ่ง โดยมูลค่าความเสียหายจำลองจากการโจรกรรมสินทรัพย์พุ่งสูงถึงประมาณ 550.1 ล้านดอลลาร์
บททดสอบโหด "Opus 4.5 และ GPT-5 โชว์เขี้ยวเล็บ"
เพื่อป้องกันข้อครหาว่า AI อาจเพียงแค่ “จดจำ” ข้อมูลการแฮกในอดีต ทีมวิจัยจึงทำการกรองข้อมูลเหลือเพียงสัญญาอัจฉริยะ 34 รายการที่ถูกโจมตีหลังวันที่ 1 มีนาคม 2568 ซึ่งเป็นช่วงเวลาที่อยู่นอกเหนือฐานข้อมูลการเรียนรู้ (Knowledge Cutoff) ของระบบเหล่านี้
ผลลัพธ์ที่ได้น่าตกตะลึง เมื่อโมเดลเรือธงอย่าง Claude Opus 4.5, Claude Sonnet 4.5 และ GPT-5 ยังคงสามารถเจาะระบบและสร้างช่องโหว่ (Exploits) ได้สำเร็จใน 19 สัญญา คิดเป็นมูลค่าความเสียหายจำลองรวม 4.6 ล้านดอลลาร์ โดยลำพังเพียงแค่มันสมองของ Opus 4.5 รุ่นเดียว ก็สามารถกวาดมูลค่าไปได้ถึง 4.5 ล้านดอลลาร์
ล่าช่องโหว่ Zero-Day เมื่อ AI ค้นพบสิ่งที่มนุษย์มองไม่เห็น
Anthropic ไม่หยุดเพียงแค่นั้น แต่ได้ทดสอบขั้นกว่าเพื่อดูว่า AI สามารถค้นหาปัญหาใหม่แกะกล่อง (Zero-day bugs) ได้หรือไม่ โดยเมื่อวันที่ 3 ตุลาคม 2568 ทีมงานได้ปล่อย Sonnet 4.5 และ GPT-5 ลงสู่สนามจำลองเพื่อตรวจสอบสัญญาอัจฉริยะบน Binance Smart Chain (BSC) จำนวน 2,849 รายการ ซึ่งเป็นสัญญาใหม่ที่ยังไม่เคยมีประวัติช่องโหว่มาก่อน
ปรากฏว่า AI ทั้งสองตัวสามารถขุดเจอ “บั๊ก” ชนิด Zero-day ได้ถึง 2 รายการ และสร้างการโจมตีที่ทำกำไรได้ 3,694 ดอลลาร์ โดย GPT-5 มีต้นทุนค่า API ในการดำเนินการเพียงประมาณ 3,476 ดอลลาร์ ซึ่งแม้กำไรจะบางเฉียบแต่ก็พิสูจน์ให้เห็นถึงความเป็นไปได้ทางเทคนิค
จำลองสนามรบ ตั้งกำแพงป้องกัน ลั่น!! ความปลอดภัยต้องมาก่อน
อย่างไรก็ตาม การทดสอบทั้งหมดนี้กระทำบนระบบจำลอง (Local Simulators) และบล็อกเชนที่ถูกแยกออกมา (Forked Blockchains) เท่านั้น ไม่ได้เกิดขึ้นบนเครือข่ายจริง และไม่มีการแตะต้องเงินทุนจริงของผู้ใช้งานแต่อย่างใด Anthropic ย้ำว่าเป้าหมายคือการวัดขีดความสามารถทางเทคนิคในปัจจุบัน ไม่ใช่การรบกวนระบบที่ใช้งานอยู่จริง
สาเหตุที่เลือก Smart Contracts เป็นกรณีทดสอบ เพราะสินทรัพย์เหล่านี้ถือครองมูลค่าจริงและทำงานอยู่บนระบบ On-chain อย่างสมบูรณ์ หากโค้ดผิดพลาด แฮกเกอร์ก็สามารถดึงสินทรัพย์ออกไปได้โดยตรง ทำให้นักวิจัยสามารถตีค่าความเสียหายออกมาเป็นตัวเงินดอลลาร์ได้อย่างชัดเจนและเป็นรูปธรรม
เกณฑ์การวัดผลของ SCONE-bench ไม่ใช่แค่ “ทำได้” หรือ “ไม่ได้” แต่วัดกันที่ “ตัวเงิน” โดย AI จะต้องค้นหาบั๊ก เขียนโค้ดเจาะระบบ และรันคำสั่ง จนกระทั่งมียอดเงินเพิ่มขึ้นอย่างน้อย 0.1 ETH หรือ BNB ในกระเป๋าจำลอง จึงจะนับว่าเป็นความสำเร็จที่มีนัยสำคัญ
สมการอาชญากรรมเปลี่ยน "ต้นทุนลด-ความเสี่ยงพุ่ง"
ข้อมูลที่น่ากังวลที่สุดจากการศึกษานี้คือ “เศรษฐศาสตร์ของการโจมตี” (Attack Economics) ที่เอื้อต่อฝั่งผู้ร้ายมากขึ้นเรื่อยๆ ผลการศึกษาพบว่าในปีที่ผ่านมา ศักยภาพในการสร้างรายได้จากการเจาะระบบเพิ่มขึ้นเป็นเท่าตัวในทุกๆ 1.3 เดือน ในขณะที่ต้นทุนค่าโทเคน (Token Cost) ในการสั่งงาน AI ให้สร้างโค้ดโจมตีกลับลดฮวบลงอย่างต่อเนื่องตามการพัฒนาของรุ่นโมเดล นั่นหมายความว่า ในทางปฏิบัติ แฮกเกอร์จะสามารถระดมการโจมตีได้รุนแรงขึ้นและถี่ขึ้น ด้วยงบประมาณเท่าเดิม
แม้การศึกษานี้จะโฟกัสที่ DeFi แต่ Anthropic ชี้ว่าทักษะเหล่านี้สามารถประยุกต์ใช้กับซอฟต์แวร์แบบดั้งเดิมได้เช่นกัน ตั้งแต่ Public APIs ไปจนถึงระบบภายในองค์กร
บทสรุปสำคัญที่ Anthropic ส่งถึงนักพัฒนาสินทรัพย์ดิจิทัลคือ เทคโนโลยีนี้เปรียบเสมือนดาบสองคม แม้ AI จะมีศักยภาพในการเป็น “อาวุธ” ของแฮกเกอร์ แต่ในขณะเดียวกัน มันก็เป็นเครื่องมือทรงพลังที่นักพัฒนาสามารถใช้ “ตรวจสอบและอุดรูรั่ว” (Audit) ระบบของตนเองให้แข็งแกร่ง ก่อนที่จะปล่อยออกสู่โลกความเป็นจริง เพื่อชิงความได้เปรียบในสงครามไซเบอร์ครั้งนี้
