La société d’audit de sécurité blockchain OpenZeppelin a réalisé un audit indépendant du standard d’IA pour la sécurité des contrats intelligents, EVMbench, lancé en collaboration avec OpenAI et Paradigm, et a identifié deux problèmes majeurs : la contamination des données d’entraînement et au moins 4 vulnérabilités classées comme « à haut risque » qui s’avèrent en réalité être des faux exploits.
Problème de contamination des données d’EVMbench : une faille critique dans la date limite d’entraînement de l’IA
EVMbench, publié à la mi-février 2026, vise à évaluer la capacité de différents modèles d’IA à identifier, réparer et exploiter les vulnérabilités des contrats intelligents. Pendant le test, l’accès réseau des agents IA était coupé pour empêcher toute recherche en ligne. Cependant, l’audit de OpenZeppelin a révélé une faille structurelle : le benchmark est basé sur 120 audits réalisés entre 2024 et la mi-2025, et la majorité des modèles d’IA de pointe ont leur date de coupure des connaissances également fixée à la mi-2025.
Cela signifie que l’agent IA a probablement été exposé aux rapports de vulnérabilités d’EVMbench lors de sa phase d’entraînement, et que ses mémoires peuvent contenir les réponses à toutes ces questions. OpenZeppelin indique : « La capacité la plus importante en sécurité IA est la capacité à découvrir de nouvelles vulnérabilités dans du code que le modèle n’a jamais vu auparavant. » La taille limitée du dataset amplifie encore l’impact de cette contamination sur l’évaluation globale.
Principaux problèmes identifiés lors de l’audit d’EVMbench
- Contamination des données d’entraînement : l’entraînement de l’IA pourrait inclure les rapports de vulnérabilités d’EVMbench, rendant la « découverte à zéro connaissance » inefficace.
- Faux classification de vulnérabilités à haut risque : au moins 4 vulnérabilités marquées comme hautement risquées sont en réalité exploitables.
- Défauts du système de notation : EVMbench attribuait des points pour la découverte de ces faux exploits, ce qui pose problème.
- Taille limitée du dataset : renforçant l’impact de la contamination sur l’évaluation.
- Classement actuel : Anthropic avec Claude 4.6 en tête, suivi d’OpenAI avec OC-GPT-5.2 et Google avec Gemini 3 Pro.
Crise des faux exploits : au moins 4 vulnérabilités à haut risque confirmées comme invalides
Outre la contamination des données, OpenZeppelin a identifié des erreurs factuelles plus concrètes. Ils ont évalué au moins 4 vulnérabilités classées comme hautement risquées par EVMbench, qui se sont avérées inexistantes — et plus important encore, dont les descriptions d’exploitation sont en réalité inapplicables.
« Il ne s’agit pas d’un désaccord subjectif sur la gravité ; la vulnérabilité décrite ne peut pas être exploitée, » souligne OpenZeppelin. Si l’agent IA « découvre » ces faux exploits lors du test, cela signifie que le système de notation récompense des résultats erronés.
OpenZeppelin insiste sur le fait que cet audit ne nie pas le potentiel de l’IA dans la sécurité blockchain : « Le problème n’est pas de savoir si l’IA va changer la sécurité des contrats intelligents — elle le fera sûrement. Le vrai problème, c’est si les données et les benchmarks que nous utilisons pour construire et évaluer ces outils respectent les mêmes standards que ceux qu’ils sont censés protéger. »
Questions fréquentes
Quelles problématiques OpenZeppelin a-t-il découvert dans l’audit d’EVMbench ?
OpenZeppelin a identifié deux problèmes principaux : d’une part, la contamination des données d’entraînement, car les vulnérabilités utilisées dans EVMbench proviennent d’audits réalisés entre 2024 et 2025, ce qui coïncide avec la date de coupure des connaissances des modèles d’IA, qui ont donc pu « voir » ces réponses lors de leur entraînement ; d’autre part, au moins 4 vulnérabilités classées comme hautement risquées sont en réalité des faux exploits, dont les descriptions d’exploitation sont inapplicables.
Pourquoi la contamination des données est-elle si dangereuse pour l’évaluation de la sécurité de l’IA ?
Si l’IA a été exposée lors de l’entraînement aux rapports de vulnérabilités du benchmark, elle peut répondre aux questions en se souvenant des réponses plutôt qu’en détectant réellement des vulnérabilités. Cela compromet la validité du test « à zéro connaissance » et ne reflète pas la capacité réelle de l’IA à auditer en sécurité des contrats intelligents inconnus.
Quelle est la position d’OpenZeppelin sur l’avenir de l’IA dans la sécurité blockchain ?
OpenZeppelin affirme que l’IA aura un impact significatif sur la sécurité des contrats intelligents, mais insiste sur le fait que cet impact doit reposer sur des méthodologies fiables et des évaluations précises. Ils considèrent que les problèmes d’EVMbench ne sont pas une critique de l’IA elle-même, mais un avertissement important pour l’industrie.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
TRM Labs rapporte que $35B a été perdu dans les escroqueries cryptographiques dans le monde entier en 2025
TRM Labs rapporte une augmentation de la fraude cryptographique mondiale, atteignant $35 milliards en 2025, sous-estimant probablement les pertes réelles. Une formation renforcée et des outils blockchain sont essentiels pour que les forces de l'ordre puissent lutter efficacement contre des schémas de fraude sophistiqués.
TheNewsCryptoIl y a 7h
L'Iran et la Corée du Nord les utilisent ! Les stablecoins sont devenus l'actif virtuel préféré pour les transactions illégales, avec une fraude impliquant jusqu'à 51 milliards de dollars.
Selon le rapport du GAFI, les stablecoins sont devenus l'actif préféré pour les transactions illégales, notamment dans des pays comme l'Iran et la Corée du Nord. L'organisation appelle à renforcer la régulation des émetteurs de stablecoins et indique qu'en 2025, les stablecoins représenteront la majorité des transactions illégales d'actifs virtuels. Pour faire face à ces défis, le GAFI recommande aux émetteurs de renforcer leurs capacités techniques afin d'améliorer l'efficacité de la régulation.
区块客Il y a 7h
Arnaque d'empoisonnement d'adresse : une baleine TON perd 220 000 $, l'escroc rend la plupart
_Un baleine de la blockchain TON a envoyé $220K à un escroc par erreur. L'escroc a conservé $17K et a renvoyé le reste avec une note d'excuses._
Une baleine de la blockchain TON a récemment été victime d'une escroquerie par poisoning d'adresse.
L'incident lui a coûté 220 000 $ en tokens TON. Il a envoyé les fonds au mauvais portefeuille par
LiveBTCNewsIl y a 8h
OpenClaw détecte une vulnérabilité de « self-attack » : exécution erronée de commandes Bash entraînant une fuite de clés
GoPlus rapporte qu'un outil d'IA, OpenClaw, a subi un incident de sécurité d'auto-attaque, causé par une erreur dans la commande Bash entraînant une fuite de variables d'environnement sensibles. Il est recommandé d'utiliser des appels API dans le développement de l'IA, de suivre le principe du moindre privilège, de limiter les opérations à haut risque et d'introduire une vérification manuelle.
GateNewsIl y a 8h
Le groupe Taizi blanchit 10,7 milliards à Taïwan ! Développement autonome du « portefeuille OJBK » connecté aux échanges clandestins
Le cas de blanchiment d'argent du « Groupe Prince » au Cambodge, enquêté par le bureau du procureur de Taipei, implique un blanchiment illégal d'une valeur de 10,7 milliards, avec la mise en accusation de 62 personnes dont Chen Zhi, et la découverte que le groupe utilisait USDT et le portefeuille « OJBK » développé en interne pour effectuer des opérations de blanchiment transfrontalier. Chen Zhi a dirigé la création de sociétés dans plusieurs pays, dissimulant les revenus criminels par le biais de contrats de transaction fictifs, et a acheté des maisons de luxe et des voitures de marque. Le parquet a requis une peine maximale de 13 ans contre lui.
区块客Il y a 11h
Le kit d'exploitation New Coruna pour iOS augmente les risques de sécurité pour les utilisateurs de crypto
La nouvelle faille "Coruna" identifiée dans le kit d'exploit représente une menace sérieuse pour les appareils Apple, contenant 23 vulnérabilités sophistiquées pouvant compromettre les iPhone sur plusieurs versions d'iOS. Les chercheurs avertissent que ces outils circulent sur les marchés de la cybercriminalité, soulignant la nécessité de mettre à jour régulièrement les logiciels pour renforcer la sécurité.
TodayqNewsIl y a 11h
