La société d’audit de sécurité blockchain OpenZeppelin a réalisé un audit indépendant du standard d’IA pour la sécurité des contrats intelligents, EVMbench, lancé en collaboration avec OpenAI et Paradigm, et a identifié deux problèmes majeurs : la contamination des données d’entraînement et au moins 4 vulnérabilités classées comme « à haut risque » qui s’avèrent en réalité être des faux exploits.
Problème de contamination des données d’EVMbench : une faille critique dans la date limite d’entraînement de l’IA
EVMbench, publié à la mi-février 2026, vise à évaluer la capacité de différents modèles d’IA à identifier, réparer et exploiter les vulnérabilités des contrats intelligents. Pendant le test, l’accès réseau des agents IA était coupé pour empêcher toute recherche en ligne. Cependant, l’audit de OpenZeppelin a révélé une faille structurelle : le benchmark est basé sur 120 audits réalisés entre 2024 et la mi-2025, et la majorité des modèles d’IA de pointe ont leur date de coupure des connaissances également fixée à la mi-2025.
Cela signifie que l’agent IA a probablement été exposé aux rapports de vulnérabilités d’EVMbench lors de sa phase d’entraînement, et que ses mémoires peuvent contenir les réponses à toutes ces questions. OpenZeppelin indique : « La capacité la plus importante en sécurité IA est la capacité à découvrir de nouvelles vulnérabilités dans du code que le modèle n’a jamais vu auparavant. » La taille limitée du dataset amplifie encore l’impact de cette contamination sur l’évaluation globale.
Principaux problèmes identifiés lors de l’audit d’EVMbench
- Contamination des données d’entraînement : l’entraînement de l’IA pourrait inclure les rapports de vulnérabilités d’EVMbench, rendant la « découverte à zéro connaissance » inefficace.
- Faux classification de vulnérabilités à haut risque : au moins 4 vulnérabilités marquées comme hautement risquées sont en réalité exploitables.
- Défauts du système de notation : EVMbench attribuait des points pour la découverte de ces faux exploits, ce qui pose problème.
- Taille limitée du dataset : renforçant l’impact de la contamination sur l’évaluation.
- Classement actuel : Anthropic avec Claude 4.6 en tête, suivi d’OpenAI avec OC-GPT-5.2 et Google avec Gemini 3 Pro.
Crise des faux exploits : au moins 4 vulnérabilités à haut risque confirmées comme invalides
Outre la contamination des données, OpenZeppelin a identifié des erreurs factuelles plus concrètes. Ils ont évalué au moins 4 vulnérabilités classées comme hautement risquées par EVMbench, qui se sont avérées inexistantes — et plus important encore, dont les descriptions d’exploitation sont en réalité inapplicables.
« Il ne s’agit pas d’un désaccord subjectif sur la gravité ; la vulnérabilité décrite ne peut pas être exploitée, » souligne OpenZeppelin. Si l’agent IA « découvre » ces faux exploits lors du test, cela signifie que le système de notation récompense des résultats erronés.
OpenZeppelin insiste sur le fait que cet audit ne nie pas le potentiel de l’IA dans la sécurité blockchain : « Le problème n’est pas de savoir si l’IA va changer la sécurité des contrats intelligents — elle le fera sûrement. Le vrai problème, c’est si les données et les benchmarks que nous utilisons pour construire et évaluer ces outils respectent les mêmes standards que ceux qu’ils sont censés protéger. »
Questions fréquentes
Quelles problématiques OpenZeppelin a-t-il découvert dans l’audit d’EVMbench ?
OpenZeppelin a identifié deux problèmes principaux : d’une part, la contamination des données d’entraînement, car les vulnérabilités utilisées dans EVMbench proviennent d’audits réalisés entre 2024 et 2025, ce qui coïncide avec la date de coupure des connaissances des modèles d’IA, qui ont donc pu « voir » ces réponses lors de leur entraînement ; d’autre part, au moins 4 vulnérabilités classées comme hautement risquées sont en réalité des faux exploits, dont les descriptions d’exploitation sont inapplicables.
Pourquoi la contamination des données est-elle si dangereuse pour l’évaluation de la sécurité de l’IA ?
Si l’IA a été exposée lors de l’entraînement aux rapports de vulnérabilités du benchmark, elle peut répondre aux questions en se souvenant des réponses plutôt qu’en détectant réellement des vulnérabilités. Cela compromet la validité du test « à zéro connaissance » et ne reflète pas la capacité réelle de l’IA à auditer en sécurité des contrats intelligents inconnus.
Quelle est la position d’OpenZeppelin sur l’avenir de l’IA dans la sécurité blockchain ?
OpenZeppelin affirme que l’IA aura un impact significatif sur la sécurité des contrats intelligents, mais insiste sur le fait que cet impact doit reposer sur des méthodologies fiables et des évaluations précises. Ils considèrent que les problèmes d’EVMbench ne sont pas une critique de l’IA elle-même, mais un avertissement important pour l’industrie.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
OpenClaw détecte une vulnérabilité de « self-attack » : exécution erronée de commandes Bash entraînant une fuite de clés
GoPlus rapporte qu'un outil d'IA, OpenClaw, a subi un incident de sécurité d'auto-attaque, causé par une erreur dans la commande Bash entraînant une fuite de variables d'environnement sensibles. Il est recommandé d'utiliser des appels API dans le développement de l'IA, de suivre le principe du moindre privilège, de limiter les opérations à haut risque et d'introduire une vérification manuelle.
GateNewsIl y a 33m
Le groupe Taizi blanchit 10,7 milliards à Taïwan ! Développement autonome du « portefeuille OJBK » connecté aux échanges clandestins
Le cas de blanchiment d'argent du « Groupe Prince » au Cambodge, enquêté par le bureau du procureur de Taipei, implique un blanchiment illégal d'une valeur de 10,7 milliards, avec la mise en accusation de 62 personnes dont Chen Zhi, et la découverte que le groupe utilisait USDT et le portefeuille « OJBK » développé en interne pour effectuer des opérations de blanchiment transfrontalier. Chen Zhi a dirigé la création de sociétés dans plusieurs pays, dissimulant les revenus criminels par le biais de contrats de transaction fictifs, et a acheté des maisons de luxe et des voitures de marque. Le parquet a requis une peine maximale de 13 ans contre lui.
区块客Il y a 2h
Le kit d'exploitation New Coruna pour iOS augmente les risques de sécurité pour les utilisateurs de crypto
La nouvelle faille "Coruna" identifiée dans le kit d'exploit représente une menace sérieuse pour les appareils Apple, contenant 23 vulnérabilités sophistiquées pouvant compromettre les iPhone sur plusieurs versions d'iOS. Les chercheurs avertissent que ces outils circulent sur les marchés de la cybercriminalité, soulignant la nécessité de mettre à jour régulièrement les logiciels pour renforcer la sécurité.
TodayqNewsIl y a 2h
Les hackers volent $24M dans une attaque violente de crypto « attaque à la clé à molette »
Un détenteur de cryptomonnaie a subi un vol violent de $24 millions, appelé une « attaque à la clé à molette », où les attaquants ont utilisé des menaces et des armes pour les contraindre à transférer des fonds. Les analystes de la blockchain suivent les actifs volés, qui restent traçables car ils sont déplacés.
TheNewsCryptoIl y a 3h
Fuite présumée d'outils du gouvernement américain ! Google révèle une nouvelle attaque de chaîne de phishing en cryptomonnaie via iPhone
Le rapport de l'équipe d'intelligence sur les menaces de Google révèle que le nouveau kit d'exploitation pour iPhone, Coruna, est utilisé pour des escroqueries massives en cryptomonnaie. Ce kit exploite la technologie JavaScript pour identifier les empreintes des appareils iOS, voler les phrases de récupération cryptographiques et les informations de comptes financiers. Il est conseillé à tous les utilisateurs d'iPhone de mettre immédiatement à jour leur système pour se protéger. L'origine de Coruna fait l'objet de controverses, certains suspectant qu'il provient du gouvernement américain, mais aucune preuve concrète n'a été apportée.
MarketWhisperIl y a 5h
Alerte Google : Méfiez-vous des escroqueries en cryptomonnaie utilisant un kit d'outils exploitant une nouvelle vulnérabilité de l'iPhone
Le groupe d'analyse des menaces de Google rapporte avoir découvert une suite d'exploitations iOS appelée « Coruna », ciblant les versions iOS 13.0 à 17.2.1 des iPhone, capable de voler les phrases mnémoniques des portefeuilles cryptographiques. La suite comprend plusieurs chaînes de vulnérabilités et aurait été utilisée par un groupe d'espionnage russe présumé pour attaquer des utilisateurs en Ukraine. Il est conseillé aux utilisateurs d'iPhone de mettre à jour leur iOS vers la dernière version pour renforcer leur sécurité.
GateNewsIl y a 6h
