OpenZeppelin تدقيق EVMbench يكتشف تلوث البيانات

شركة تدقيق أمن البلوكتشين OpenZeppelin أجرت تدقيقًا مستقلًا لمعيار اختبار أمان العقود الذكية AI الذي أطلقته بالتعاون مع OpenAI و Paradigm، واكتشفت مشكلتين خطيرتين رئيسيتين: تلوث البيانات التدريبية ووجود ما لا يقل عن 4 تصنيفات “ثغرات عالية الخطورة” في الواقع غير فعالة أو مزورة.

مشكلة تلوث البيانات في EVMbench: ثغرة حاسمة في تاريخ انتهاء تدريب AI

تم إصدار EVMbench في منتصف فبراير 2026 بهدف تقييم قدرة نماذج الذكاء الاصطناعي المختلفة على التعرف على الثغرات في العقود الذكية وتصحيحها واستغلالها، وخلال الاختبار تم قطع صلاحية وصول الوكيل الذكي إلى الإنترنت لمنعه من البحث عن الإجابات عبر الشبكة. ومع ذلك، كشف تدقيق OpenZeppelin عن ثغرة هيكلية: أن المعيار يعتمد على الثغرات التي تم فحصها خلال 120 عملية تدقيق بين عامي 2024 و2025، وغالبية نماذج AI الرائدة كانت قد انتهت من تدريبها قبل ذلك، مع تحديد موعد انتهاء التدريب في منتصف 2025.

هذا يعني أن الوكيل الذكي ربما يكون قد تعرض مسبقًا لتقارير ثغرات EVMbench أثناء فترة التدريب، وأن ذاكرته قد تكون مخزنة فيها إجابات جميع الأسئلة. وذكر OpenZeppelin: «أهم قدرة للأمان في AI هي اكتشاف ثغرات جديدة في الكود لم يسبق للنموذج رؤيتها من قبل.» حجم مجموعة البيانات المحدود يزيد من تأثير التلوث على التقييم الكلي.

المشكلات الرئيسية التي كشف عنها تدقيق EVMbench

• تلوث البيانات التدريبية: من المحتمل أن يكون الوكيل الذكي قد تدرب على تقارير ثغرات EVMbench، مما يجعل اختبار “المعرفة الصفرية” غير ذي معنى.
• تصنيفات الثغرات عالية الخطورة غير فعالة: على الأقل 4 ثغرات مصنفة على أنها عالية الخطورة غير قابلة للاستغلال في الواقع.
• عيوب نظام التقييم: كانت درجات EVMbench تعتمد سابقًا على اكتشاف AI لهذه الثغرات المزورة، مما يثير تساؤلات حول أساس التقييم.
• حجم مجموعة البيانات محدود: مما زاد من تأثير التلوث على نتائج التقييم بشكل أكبر.
• الترتيب الحالي: يتصدر Claude 4.6 من Anthropic، يليه OC-GPT-5.2 من OpenAI و Gemini 3 Pro من Google.

أزمة الثغرات المزورة: تأكيد عدم فاعلية 4 تصنيفات عالية الخطورة

بالإضافة إلى تلوث البيانات، اكتشفت OpenZeppelin أخطاءً أكثر تحديدًا. قاموا بتقييم 4 ثغرات على الأقل مصنفة على أنها عالية الخطورة من قبل EVMbench، وتبين أن هذه الثغرات غير موجودة في الواقع — والأهم من ذلك، أن طرق استغلالها الموصوفة غير قابلة للتنفيذ.

قالت OpenZeppelin: «هذه ليست خلافات في مدى الخطورة بشكل شخصي، بل أن طرق استغلال الثغرات الموصوفة لم تنجح في الواقع.» إذا اكتشف الوكيل الذكي هذه الثغرات المزورة خلال الاختبار، فهذا يعني أن نظام التقييم يثيب نتائج خاطئة.

وأكدت OpenZeppelin أن هذا التدقيق لا ينفي إمكانيات AI في أمن البلوكتشين: «المشكلة ليست في أن AI سيغير أمان العقود الذكية — بالتأكيد سيحدث ذلك. المشكلة في أن البيانات والمعايير التي نبني عليها أدواتنا وتقييمنا يجب أن تتوافق مع المعايير التي تهدف إلى حماية العقود بها.»

الأسئلة الشائعة

ماذا اكتشفت OpenZeppelin في تدقيق EVMbench؟

اكتشفت مشكلتين رئيسيتين: أولًا، تلوث البيانات التدريبية، حيث أن ثغرات EVMbench تأتي من تقارير تدقيق بين 2024 و2025، والتي تتداخل مع موعد انتهاء تدريب نماذج AI، مما قد يجعلها تتذكر الإجابات مسبقًا؛ ثانيًا، أن 4 تصنيفات على الأقل لثغرات عالية الخطورة غير فعالة، حيث أن طرق استغلالها غير قابلة للتنفيذ.

لماذا يعتبر تلوث البيانات خطيرًا جدًا على تقييم أمان AI؟

إذا كانت نماذج AI قد تعرضت مسبقًا لتقارير الثغرات أثناء التدريب، فهي قد تعتمد على الذاكرة «للإجابة» على الأسئلة بدلاً من اكتشاف الثغرات فعليًا. هذا يفسد مفهوم اختبار “المعرفة الصفرية”، ويجعل التقييم غير قادر على قياس قدرة AI على فحص العقود الذكية الجديدة بشكل حقيقي.

ما هو موقف OpenZeppelin من مستقبل AI في مجال أمان البلوكتشين؟

أوضحت OpenZeppelin أن AI ستؤثر بشكل كبير على أمان العقود الذكية، لكن هذا التأثير يجب أن يبنى على منهجية موثوقة وتقييم دقيق. وأكدت أن مشكلة EVMbench ليست نفي إمكانيات AI، بل تحذير مهم لصناعة المعايير.