Claude Fable 5 讓加密攻擊更快的 5 個面向
4 個面向看 Claude Fable 5 可能如何改變加密安全,從更快偵察到更強社工;DeFi 年內損失已逾 8.4 億美元。
Claude Fable 5 可能不是發明新攻擊,而是讓加密攻擊更快、更便宜。
這份清單看完,你會知道 5 個最值得注意的變化,並判斷自己該先補強偵察、防社工,還是金鑰與簽署流程。
| 項目 | 規格 A | 規格 B |
|---|---|---|
| Claude Fable 5 | 更強推理與寫碼 | 加速攻擊偵察與防守工作 |
| Claude Mythos 5 | 受限、較強的變體 | 安全審查與誤用控制 |
| DeFi 協議 | 資金曝險高 | 金鑰、簽署流程、管理權限 |
| Pendle 式防禦用法 | AI 輔助程式審查 | 找漏洞與測試合約 |
1. 偵察變快,但不等於出現新型漏洞
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
安全研究者的共識是,這類模型多半不會憑空發明全新的加密攻擊,但會大幅壓縮找弱點的時間。它能更快比對程式版本、掃描設定檔,還能把審計報告整理成可行的攻擊方向。
對攻擊者來說,這讓前期踩點更便宜。對防守者來說,這也讓例行審查更有效率,因為同一批資料可以被更快地讀完、交叉比對與歸納。
- 逐一比對 repo commit 差異
- 搜尋設定檔中的暴露金鑰
- 把審計結論整理成風險清單
- 標出管理權限與高權限路徑
2. 社交工程會更精準,也更大量
DeFi 最大的損失,往往不是來自炫技型智能合約漏洞,而是人為失誤、外洩金鑰與錯誤簽署。AI 的危險在於,它能把釣魚信、假客服對話、假升級通知做得更像真的,還能針對不同對象客製化。
這特別麻煩,因為只要有一次成功的冒充,就可能打開管理權限或拿到私鑰。像 Drift Protocol 相關的社工事件就提醒大家,最脆弱的地方常常不是合約,而是人。
- 更像真的釣魚郵件與私訊
- 假升級、假簽署請求
- 根據公開 repo 歷史客製訊息
- 冒充審計師、創辦人或客服
3. 私鑰與簽署流程成為主戰場
報導提到 Humanity Protocol 的損失與私鑰外洩有關,甚至涉及員工筆電上的多把金鑰。這說明 AI 攻擊不一定要找到新漏洞,只要能碰到筆電、瀏覽器錢包,或一個看似正常的授權步驟,就可能得手。
防守重點因此轉向硬體信任根、安全元件與 Clear Signing。若使用者無法在可信螢幕上確認自己到底簽了什麼,AI 輔助的攻擊者就能把壞操作藏進一般請求裡。
防守清單:
- 私鑰不要放在一般筆電
- 使用經認證的安全元件
- 要求可信顯示驗證
- 每次檢查高權限簽署流程
- 管理權限與日常工作裝置分離4. 受限模型不是萬全保護
Anthropic 表示,Claude Fable 5 會把高風險請求轉給較弱的 fallback 模型,且超過 1,000 小時的外部漏洞賞金測試沒有找到能通殺系統的方法。不過,公司也承認,這些控制不足以擋住決心夠強的攻擊者。
這代表安全機制只能提高門檻,不能消除風險。若對手資源充足,就會持續試探;而更快的資安推理能力,本身就足以成為誘因。受限兄弟模型 Claude Mythos 5 的存在,說明的是能力有多強,不是問題已經解決。
- fallback 路由可減少明顯濫用
- 審核過的存取可縮小散布面
- 有決心的攻擊者仍會持續試探
- 監控不能只靠模型本身
5. 防守方也能提早出手
影響不全是負面的。Pendle 曾表示,自己用 Anthropic 模型做防禦用途,像是整理 codebase、測試合約、在部署前找 bug。這種工作特別適合加密產業,因為智能合約通常夠小,AI 與人工審查都能快速過一輪。
對已經有良好開發流程的團隊來說,模型更像是重複性審查的加速器。它可以幫忙追蹤依賴、檢查新部署,並在資金進場前先標出明顯錯誤。
- 更快整理新 codebase
- 壓測合約邊界情況
- 資金進場前先審查新部署
- 替審計草擬更乾淨的註記
哪種適合你
如果你是 DeFi 協議團隊,優先順序不只是合約審計,而是金鑰保管、簽署紀律、權限控管與防釣魚。Claude Fable 5 會讓這些人為與流程弱點更容易被盯上,因為它讓搜尋錯誤的速度變快。
如果你是建設者或安全團隊,同一套模型也能幫你做程式審查與測試,但前提是把私鑰、管理操作與授權流程,和日常工作設備徹底分開。