关键是在理解风险的前提下，做出适合自己的选择。

撰文：刘教链

隔夜 BTC 拉回 73k 上方。市场情绪死水微澜。

一则来自 DeFi 安全领域重量级人物的警告，在加密圈激起了涟漪。

前几天，OpenZeppelin 联合创始人 Manuel Aráoz 公开建议投资者退出 DeFi 仓位，包括 Aave、MakerDAO、Compound 这样的成熟协议。[1]

他做智能合约安全做了十年。他的话，至少值得认真对待。

但教链觉得，恐慌之前，先把技术边界看清楚。

一、为什么是现在

Aráoz 的警告，并非凭空而来。它踩在两条时间线上。

第一条线是 a16z 的研究。a16z 发现，AI agent 能够持续识别历史 DeFi 漏洞中的核心弱点[1]。即便 agent 无法独立完成一整套攻击流程，它也能高效发现攻击的起始点。换句话说，一个新手拿着 AI 工具，也许还写不出完整的攻击代码，但他至少知道该往哪个方向努力了。

这已足够令人不安。

第二条线把不安推向了焦虑。

2026 年 4 月 7 日，Anthropic 发布了 Claude Mythos Preview [2]。这不是一次普通的模型迭代。Mythos 没有像以往那样先以公众可访问的预览形式上线，而是直接被放进了 Project Glasswing——一个联合 AWS、Apple、Google、Microsoft、CrowdStrike 等 12 家机构的防御性网络安全计划，仅限邀请制访问。[2]

为什么这么谨慎？

因为据说 Mythos 的能力已经跨过了一个门槛。在 SWE-Bench Pro 上，Mythos 达到 77.8%，而 Anthropic 上一代最强模型 Opus 4.6 是 53.4%，OpenAI 的 GPT-5.4 是 57.7%，Google 的 Gemini 3.1 Pro 是 54.2%。[3]

但真正的差距不体现在 benchmark 数字上。Anthropic 红队在内部评估中发现，Opus 4.6 的自主完成攻击代码成功率接近 0%。而 Mythos 在 Firefox 147 的 JavaScript 引擎漏洞上，做出了 181 次可工作的攻击代码，另有 29 次达到寄存器控制。[3] 在针对约一千个开源仓库、约 7000 个入口点的内部测试中，Mythos 在已完全修补的目标上实现了 10 次第 5 级完整控制流劫持（指攻击者完全控制程序执行流程的最高级别）。[3]

Anthropic 自称，这些能力不是通过把模型训练成黑客模型得到的。它们来自代码、推理和自治能力提升后的下游涌现。[3]

截至目前，Mythos 据称已经发现了数千个高危漏洞，覆盖每一个主流操作系统和主流浏览器。其中包括一个存在了 27 年的 OpenBSD 漏洞、一个存在了 16 年的 FFmpeg 漏洞。[2]

5 月 26 日，欧洲央行为此紧急召集银行会议。欧洲央行银行监管委员会副主席弗兰克·埃尔德森说：这是足以改变游戏规则的事情。时间正在流逝。[4]

当最前沿的 AI 模型已被证明能自主发现并利用安全漏洞时，Aráoz 在这样的时间节点发出警告，就不难理解了。

二、Aráoz 的警告是何意味

Aráoz 的原话是这么说的：

Coding agents are superhuman at finding vulnerabilities, and smart contract security is too asymmetric. Defenders need to fix every bug while attackers need just one exploit to steal funds.[1]

AI 编程代理在发现漏洞方面已超人类水平。智能合约安全太不对称——防守方要修复每个漏洞，攻击方只需一个就能得手。

教链觉得 Aráoz 这个表述，需要拆开来看。

前半句关于 AI 能力，Claude Mythos 的出现已经提供了实证（如果不是为了今年上市吹泡沫而夸大其词的话）。AI 在漏洞发现上确实达到了超人水平。

后半句关于不对称性，这其实不是一个新问题。信息安全领域自古就是不对称的。防守方要守住所有点，攻击方只需找到一个点。这不是 AI 时代才有的困境。

但 AI 改变了这个不对称性的尺度。

过去，攻击者需要经过长期训练、积累大量知识，才能发现并利用一个漏洞。这意味着攻击人才的培养是稀缺的、昂贵的、耗时的。防守方可以依靠审计、赏金计划、代码开源和社区审查来维持相对平衡。

现在，AI 降低了攻击者的门槛。一个意图不良的参与者，即使没有深厚的安全技术背景，也可能借助 AI 工具找到可利用的弱点。AI 使漏洞发现从稀缺技能变成可购买的服务。

这就是 Aráoz 真正想说的。不是 AI 创造了不对称性，而是 AI 让不对称性的天平加速倾斜。

三、反对的声音

Aráoz 的建议发布后，DeFi 生态的核心人物迅速做出了回应。

Aave 创始人 Stani Kulechov 说，DeFi 基础设施已经有了更好的风控引擎、形式化验证、审计、漏洞赏金、预言机改进、自动化监控和断路器[1]。剩余的攻击面主要集中在 Web2 级别的运营疏漏——私钥被盗、社会工程、访问控制不严。这不是 AI 带来的新问题。

Uniswap 创始人 Hayden Adams 也表达了不同看法。好代码依然是好代码。AI 只会加速暴露弱代码和粗心的开发实践。[1]

OpenZeppelin 自己也在回应中指出，近期大多数重大损失源于运营故障，而非审计过的合约代码缺陷[1]。4 月 DeFi 因漏洞损失超 6 亿美刀，其中最大的一笔——Drift Protocol 损失近 3 亿美刀——是朝鲜 Lazarus 集团长达六个月的社会工程攻击。这跟 AI 没有关系。

这些反驳有一个共同点：他们不是在否认 AI 的能力，而是在强调 AI 的攻击面与人们想象中的攻击面不同。AI 擅长的是代码层面的漏洞发现。而 DeFi 历史上最大的几笔损失，恰恰不是纯代码漏洞，而是 Web2 安全问题的延续。

这个区分很重要。

四、否定之否定

不妨把两边的论据放在一起看。

两边都有一定道理。

恐慌派看到了正确的方向：AI 确实在加速攻防不对称。Mythos 展示的能力说明，AI 已经能够在代码层面发现人类专家几十年都发现不了的漏洞。这不是未来的可能，而是已经发生的事实。

冷静派看到了正确的尺度：AI 的能力被框定在一个范围内。代码级漏洞的发现不等于资金级损失的必然发生。DeFi 的历史损失结构显示，大量资金损失来自运营层面而非纯代码层面。而且防守方也在用同样的 AI 工具升级防御。

真正的风险可能不在两派的争论中，而在一个容易被忽略的隐秘角落：当 AI 让代码级漏洞的发现变得极其廉价和自动时，攻击者的主战场可能会从代码漏洞转向运营攻击和社会工程的自动化。如果代码漏洞被 AI 封堵得越来越快，攻击者反而可能更倾向于回到运营层面：AI 会让钓鱼邮件、语音克隆、深度伪造等等也变得规模化。

毕竟，当 AI 变得比人类更强大之后，木桶上最短的那块短板，不就成了人类自身了吗？

五、退出 DeFi，退到哪里

退一万步讲，假设 Aráoz 的建议是对的，投资者真应该退出 DeFi。那么请问，该退到哪里去，又能退到哪里去呢？

退到稳定币吗？但稳定币本身也是智能合约。USDT 和 USDC 的合约代码一样有攻击面。更不用说它们的中心化托管风险和审查风险。

退到公链上的代币资产吗？代币合约也可能有漏洞，承载代币的底层公链如 ETH 也同样可能被攻击甚至攻破。

退到 PoW 保护的原生 BTC 吗？Mythos 连 27 年的 OpenBSD 漏洞和 16 年的 FFmpeg 漏洞都能翻出来。比特币核心代码也没人敢说绝对毫无漏洞。

退出加密，全部换成法币存银行吗？银行系统每年因网络欺诈造成的损失在百亿美刀级别。仅 2023 年，美国银行因支票欺诈就损失了约 260 亿美刀。欧洲央行因为 Mythos 紧急召集会议的新闻刚出来不到一周——银行系统自身也在焦虑。

退到纸质钞票，退到刀耕火种，还是……？

说到底，绝对安全是不存在的。所有金融系统都在一个风险光谱上，位置不同，但没有人站在零风险的那一端。

DeFi 确实在光谱上更靠近高风险的那一侧。但它同时提供了传统金融无法提供的东西：无需许可、可组合、全球可访问、可审计。

这个取舍，每个参与者需要自己判断。

六、教链的几点思考

第一，AI 确实在加速攻防不对称，但不必恐慌。AI 擅长的是已知漏洞模式的大规模扫描和代码层面的问题发现。设计严谨、经过多轮审计、经过市场长时间检验的协议，AI 能发现的额外攻击面是有限的。Mythos 很强，但 Anthropic 的策略是把它先用在防御上，而不是放出来攻击。

第二，当前 DeFi 最大的安全风险可能不是 AI 带来的代码级攻击，而是传统的运营安全问题。私钥管理、访问控制、社会工程——这些在 AI 时代之前就存在，之后的迫切性也不会降低。甚至可以说，加强运营安全是一个成本更低、回报更明确的防御升级方向。

第三，AI 对 DeFi 安全的长期影响可能是正向的。它迫使行业从点状审计转向持续监控、从被动修复转向主动防御、从单点安全转向系统性安全。这轮冲击的受益者将是那些安全标准过硬的协议。淘汰的将是那些安全意识薄弱的项目。

第四，对于普通参与者，不需要因为一则警告就清空所有 DeFi 仓位。但需要变得更加审慎。一个简单的判断标准：你参与的协议能不能回答清楚几个问题——代码是否经过专业审计？有没有实时监控和断路器机制？团队是否有应对安全事件的能力？协议设计是否限制了单点失效的破坏半径？

第五，技术从来不是单向的威胁。每一次技术飞跃，都会淘汰一批旧系统，催生一批新系统。九十年代的互联网没有因为黑客而消亡。信用卡没有因为欺诈而消失。DeFi 也不会因为 AI 而崩塌。

关键不是消除所有的风险——那是做不到的。关键是在理解风险的前提下，做出适合自己的选择。

参考资料：

[1] Oluwapelumi Adejumo, 「Have AI agents made the entire $148 billion DeFi sector unsafe?」, CryptoSlate, May 28, 2026. [链接](https://cryptoslate.com/have-ai-agents-made-the-entire-148-billion-defi-sector-unsafe/)

[2] Anthropic, 「Project Glasswing: Securing critical software for the AI era」, April 7, 2026. [链接](https://www.anthropic.com/glasswing)

[3] Anthropic Frontier Red Team, 「Assessing Claude Mythos Preview『s cybersecurity capabilities」, April 7, 2026. [链接](https://red.anthropic.com/2026/mythos-preview/)

[4] 问舟, 「Anthropic 新模型 Claude Mythos 震动金融圈，欧洲央行紧急开会要求升级网络防御」, IT 之家, May 26, 2026. [链接](https://www.ithome.com/0/955/090.htm)