COSCUP 2026 - Conference for Open Source Coders, Users, and Promoters

fffuuuming

Web3 Software Engineer Intern @OneSavie Lab
Master @NTU CSIE


Intervention

08/08
09:30
30minutes
當 AI 學會當白帽駭客 – 從鏈上漏洞掃描到資金救援的全自動 Pipeline!
fffuuuming, Aaron Yeh

智慧合約的資安事件除了程式碼漏洞本身的問題,更是如何持續監控、快速判斷並即時應對的防禦作業問題。鏈上的威脅會持續出現,留給團隊判斷與應對的時間也和短暫;且「找到一個漏洞」不等於證明它真的可被利用,也不等於能阻止損失發生。

這場演講將介紹一個一個能自主執行防禦流程的 Agent,目標是打通從漏洞發現到實際行動的完整流程。除了審計原始碼或產生單次的概念驗證(PoC),Agent 更會持續掃描鏈上合約、透過設定好的風險訊號與篩選規則,優先挑出最值得檢查的目標,生成並驗證可利用的 PoC,最終再透過模擬估算真實經濟影響,並在獲得授權時執行資金救援以降低實際損失。

我們會介紹整體系統架構,並聚焦在這個流程中最困難的一段:「如何從一個潛在漏洞,推進到可實際利用的 PoC,接著再把 PoC 轉換成真正可以部署的救援合約。」我們也會透過 1–2 個可能造成資金損失的具體漏洞案例(e.g., 重入攻擊),討論在 Harness Engineering 的實作上, Agent 該如何推理漏洞的可利用性、取得所需的鏈上狀態、透過模擬驗證攻擊是否成立,以及如何將 PoC 改寫成可執行的救援邏輯。

我們期待達到的目標,是讓智慧合約安全從週期性的審計,走向持續、端到端的防禦營運;優先處理真正可被利用、具有實質經濟影響,並且能被安全採取行動的風險。

Blockchain and Distributed Ledger
TR511