会员服务
智能合约 · 漏洞利用 · 代码 · 工具 · 基准 ·
2 月 23 日
PoCo: Agentic Proof-of-Concept Exploit Generation for Smart Contracts
翻译:PoCo:面向智能合约的自主概念验证漏洞利用生成框架
Vivi Andersson,Sofia Bobadilla,Harald Hobbelhagen,Martin Monperrus
Vivi Andersson,Sofia Bobadilla,Harald Hobbelhagen,Martin Monperrus
from arxiv, Under review

Smart contracts operate in a highly adversarial environment, where vulnerabilities can lead to substantial financial losses. Thus, smart contracts are subject to security audits. In auditing, proof-of-concept (PoC) exploits play a critical role by demonstrating to the stakeholders that the reported vulnerabilities are genuine, reproducible, and actionable. However, manually creating PoCs is time-consuming, error-prone, and often constrained by tight audit schedules. We introduce PoCo, an agentic framework that automatically generates executable PoC exploits from natural-language vulnerability descriptions written by auditors. PoCo autonomously generates PoC exploits in an agentic manner by interacting with a set of codeexecution tools in a Reason-Act-Observe loop. It produces fully executable exploits compatible with the Foundry testing framework, ready for integration into audit reports and other security tools. We evaluate PoCo on a dataset of 23 real-world vulnerability reports. PoCo consistently outperforms the Zero-shot and Workflow baselines, generating well-formed and logically correct PoCs. Our results demonstrate that agentic frameworks can significantly reduce the effort required for high-quality PoCs in smart contract audits. Our contribution provides actionable knowledge for the smart contract security community.


翻译:智能合约运行于高度对抗的环境中,其漏洞可能导致重大财务损失。因此,智能合约需接受安全审计。在审计过程中,概念验证(PoC)漏洞利用发挥着关键作用,它能向利益相关方证明所报告的漏洞是真实、可复现且可操作的。然而,手动创建PoC耗时耗力、易出错,且常受限于紧张的审计周期。本文提出PoCo,一种自主式框架,能够根据审计人员编写的自然语言漏洞描述自动生成可执行的PoC漏洞利用。PoCo通过与一组代码执行工具在“推理-执行-观察”循环中进行交互,以自主方式生成PoC漏洞利用。该框架生成完全可执行的漏洞利用代码,兼容Foundry测试框架,可直接集成至审计报告及其他安全工具中。我们在包含23个真实漏洞报告的数据集上对PoCo进行评估。实验表明,PoCo持续优于零样本基准与工作流基准,能够生成结构良好且逻辑正确的PoC。研究结果证明,自主式框架可显著降低智能合约审计中生成高质量PoC所需的工作量。本研究成果为智能合约安全社区提供了可直接应用的知识参考。
0
下载
关闭预览

相关内容

PaperOrchestra:一种面向自动化 AI 学术论文撰写的多智能体框架
PaperOrchestra:一种面向自动化 AI 学术论文撰写的多智能体框架
专知会员服务
12+阅读 · 4月9日
智能体工程(Agent Engineering)
智能体工程(Agent Engineering)
专知会员服务
33+阅读 · 2025年12月31日
一种Agent自主性风险评估框架 | 最新文献
一种Agent自主性风险评估框架 | 最新文献
专知会员服务
23+阅读 · 2025年10月24日
聚焦AIGC高质量发展新未来 高金智库发布《生成式人工智能服务合规发展白皮书》,88页pdf
聚焦AIGC高质量发展新未来 高金智库发布《生成式人工智能服务合规发展白皮书》,88页pdf
专知会员服务
68+阅读 · 2023年10月1日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知会员服务
106+阅读 · 2022年9月22日
【可审计AI概念】中文版:德国联邦信息安全局等十余个单位联合发布《迈向可审计人工智能系统:现状和未来方向》白皮书
【可审计AI概念】中文版:德国联邦信息安全局等十余个单位联合发布《迈向可审计人工智能系统:现状和未来方向》白皮书
专知会员服务
44+阅读 · 2022年4月20日
牛津大学等《多智能体系统的博弈论验证》最新论文,Rational verification: game-theoretic verification of multi-agent systems
牛津大学等《多智能体系统的博弈论验证》最新论文,Rational verification: game-theoretic verification of multi-agent systems
专知会员服务
43+阅读 · 2022年4月4日
人工智能安全框架
专知会员服务
63+阅读 · 2021年7月5日
智能合约的形式化验证方法研究综述
专知会员服务
34+阅读 · 2021年5月8日
《人工智能安全框架(2020年)》白皮书,68页pdf
《人工智能安全框架(2020年)》白皮书,68页pdf
专知会员服务
167+阅读 · 2021年1月9日
《数字孪生仿真赋能要素及其在国防领域信息优势中的应用》2022最新16页技术报告,北约STO
《数字孪生仿真赋能要素及其在国防领域信息优势中的应用》2022最新16页技术报告,北约STO
专知
34+阅读 · 2022年10月26日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知
24+阅读 · 2022年9月25日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
产业智能官
35+阅读 · 2019年4月30日
【机器视觉】人工智能检测设备实现手机外观缺陷全自动检测、基于人工智能的PCB表面瑕疵检测
【机器视觉】人工智能检测设备实现手机外观缺陷全自动检测、基于人工智能的PCB表面瑕疵检测
产业智能官
15+阅读 · 2019年2月1日
智能时代如何构建金融反欺诈体系?
智能时代如何构建金融反欺诈体系?
数据猿
12+阅读 · 2018年3月26日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
互联网金融
10+阅读 · 2017年7月13日
知识提取的一种应用,从上市公司年报中抽取因果关系
知识提取的一种应用,从上市公司年报中抽取因果关系
文因互联
10+阅读 · 2017年7月7日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
高维单调转移模型的变量选择及其在违约风险评估中的应用
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
SmartGraphical: A Human-in-the-Loop Framework for Detecting Smart Contract Logical Vulnerabilities via Pattern-Driven Static Analysis and Visual Abstraction
Arxiv
0+阅读 · 3月9日
EVMbench: Evaluating AI Agents on Smart Contract Security
Arxiv
0+阅读 · 3月5日
Smart Contracts in the Real World: A Statistical Exploration of External Data Dependencies
Arxiv
0+阅读 · 2月9日
A Dual-Loop Agent Framework for Automated Vulnerability Reproduction
Arxiv
0+阅读 · 2月8日
A Dual-Loop Agent Framework for Automated Vulnerability Reproduction
Arxiv
0+阅读 · 2月5日
LogicScan: An LLM-driven Framework for Detecting Business Logic Vulnerabilities in Smart Contracts
Arxiv
0+阅读 · 2月3日
MoveScanner: Analysis of Security Risks of Move Smart Contracts
Arxiv
0+阅读 · 2月2日
Enhancing Smart Contract Vulnerability Detection in DApps Leveraging Fine-Tuned LLM
Arxiv
0+阅读 · 1月31日
SmartBugBert: BERT-Enhanced Vulnerability Detection for Smart Contract Bytecode
Arxiv
0+阅读 · 1月31日
Security Analysis of Ponzi Schemes in Ethereum Smart Contracts
Arxiv
1+阅读 · 1月30日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
智能合约
漏洞利用
代码
工具
基准
最新内容
《未来打击作战中有人-无人协同的扩展杀伤链分析》130页
《未来打击作战中有人-无人协同的扩展杀伤链分析》130页
专知会员服务
1+阅读 · 8分钟前
《人工智能在全球军事与武器工业中的应用、方法论与影响》
《人工智能在全球军事与武器工业中的应用、方法论与影响》
专知会员服务
1+阅读 · 11分钟前
《“史诗怒火”行动中美军平台的战略协同:基于开源数据的网络分析》200页报告
《“史诗怒火”行动中美军平台的战略协同:基于开源数据的网络分析》200页报告
专知会员服务
1+阅读 · 19分钟前
美国力量的新架构:Anduril、Palantir、SpaceX 与美国军工格局的转型
美国力量的新架构:Anduril、Palantir、SpaceX 与美国军工格局的转型
专知会员服务
3+阅读 · 今天0:51
机器人领域中的视觉-语言-动作模型:数据集、基准测试与数据引擎综述
机器人领域中的视觉-语言-动作模型:数据集、基准测试与数据引擎综述
专知会员服务
4+阅读 · 4月29日
主权智能前沿:战略霸权与算法战争代差的比较分析——第二部分
主权智能前沿:战略霸权与算法战争代差的比较分析——第二部分
专知会员服务
6+阅读 · 4月29日
万亿美元智能竞赛:OpenAI的主权崛起与数字神经系统的高风险博弈——第一部分
万亿美元智能竞赛:OpenAI的主权崛起与数字神经系统的高风险博弈——第一部分
专知会员服务
5+阅读 · 4月29日
《忠诚僚机、人工智能与认知增强:对赛博格-无人机战争的警示》
《忠诚僚机、人工智能与认知增强:对赛博格-无人机战争的警示》
专知会员服务
5+阅读 · 4月29日
《化繁为简:军事模拟器配置的对话式方法》报告
《化繁为简:军事模拟器配置的对话式方法》报告
专知会员服务
8+阅读 · 4月29日
《人机协同研究报告——衡量与预测技术流利性:知识、技能、能力及其他行为如何促成技术精通》146页
《人机协同研究报告——衡量与预测技术流利性:知识、技能、能力及其他行为如何促成技术精通》146页
专知会员服务
11+阅读 · 4月29日
《新兴技术武器化及其对全球风险的影响》
《新兴技术武器化及其对全球风险的影响》
专知会员服务
7+阅读 · 4月29日
《帕兰泰尔平台介绍:信息分析平台》
《帕兰泰尔平台介绍:信息分析平台》
专知会员服务
18+阅读 · 4月29日
Maven智能系统(MSS)如何赋能第三方解决方案:北约视角
Maven智能系统(MSS)如何赋能第三方解决方案:北约视角
专知会员服务
10+阅读 · 4月29日
【伯克利博士论文】深度解析 AI 智能体的失配问题
【伯克利博士论文】深度解析 AI 智能体的失配问题
专知会员服务
8+阅读 · 4月28日
智能体化世界建模:基础、能力、规律及展望
智能体化世界建模:基础、能力、规律及展望
专知会员服务
11+阅读 · 4月28日
相关VIP内容
PaperOrchestra:一种面向自动化 AI 学术论文撰写的多智能体框架
PaperOrchestra:一种面向自动化 AI 学术论文撰写的多智能体框架
专知会员服务
12+阅读 · 4月9日
智能体工程(Agent Engineering)
智能体工程(Agent Engineering)
专知会员服务
33+阅读 · 2025年12月31日
一种Agent自主性风险评估框架 | 最新文献
一种Agent自主性风险评估框架 | 最新文献
专知会员服务
23+阅读 · 2025年10月24日
聚焦AIGC高质量发展新未来 高金智库发布《生成式人工智能服务合规发展白皮书》,88页pdf
聚焦AIGC高质量发展新未来 高金智库发布《生成式人工智能服务合规发展白皮书》,88页pdf
专知会员服务
68+阅读 · 2023年10月1日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知会员服务
106+阅读 · 2022年9月22日
【可审计AI概念】中文版:德国联邦信息安全局等十余个单位联合发布《迈向可审计人工智能系统:现状和未来方向》白皮书
【可审计AI概念】中文版:德国联邦信息安全局等十余个单位联合发布《迈向可审计人工智能系统:现状和未来方向》白皮书
专知会员服务
44+阅读 · 2022年4月20日
牛津大学等《多智能体系统的博弈论验证》最新论文,Rational verification: game-theoretic verification of multi-agent systems
牛津大学等《多智能体系统的博弈论验证》最新论文,Rational verification: game-theoretic verification of multi-agent systems
专知会员服务
43+阅读 · 2022年4月4日
人工智能安全框架
专知会员服务
63+阅读 · 2021年7月5日
智能合约的形式化验证方法研究综述
专知会员服务
34+阅读 · 2021年5月8日
《人工智能安全框架(2020年)》白皮书,68页pdf
《人工智能安全框架(2020年)》白皮书,68页pdf
专知会员服务
167+阅读 · 2021年1月9日
热门VIP内容
相关资讯
《数字孪生仿真赋能要素及其在国防领域信息优势中的应用》2022最新16页技术报告,北约STO
《数字孪生仿真赋能要素及其在国防领域信息优势中的应用》2022最新16页技术报告,北约STO
专知
34+阅读 · 2022年10月26日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知
24+阅读 · 2022年9月25日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
产业智能官
35+阅读 · 2019年4月30日
【机器视觉】人工智能检测设备实现手机外观缺陷全自动检测、基于人工智能的PCB表面瑕疵检测
【机器视觉】人工智能检测设备实现手机外观缺陷全自动检测、基于人工智能的PCB表面瑕疵检测
产业智能官
15+阅读 · 2019年2月1日
智能时代如何构建金融反欺诈体系?
智能时代如何构建金融反欺诈体系?
数据猿
12+阅读 · 2018年3月26日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
互联网金融
10+阅读 · 2017年7月13日
知识提取的一种应用,从上市公司年报中抽取因果关系
知识提取的一种应用,从上市公司年报中抽取因果关系
文因互联
10+阅读 · 2017年7月7日
相关论文
SmartGraphical: A Human-in-the-Loop Framework for Detecting Smart Contract Logical Vulnerabilities via Pattern-Driven Static Analysis and Visual Abstraction
Arxiv
0+阅读 · 3月9日
EVMbench: Evaluating AI Agents on Smart Contract Security
Arxiv
0+阅读 · 3月5日
Smart Contracts in the Real World: A Statistical Exploration of External Data Dependencies
Arxiv
0+阅读 · 2月9日
A Dual-Loop Agent Framework for Automated Vulnerability Reproduction
Arxiv
0+阅读 · 2月8日
A Dual-Loop Agent Framework for Automated Vulnerability Reproduction
Arxiv
0+阅读 · 2月5日
LogicScan: An LLM-driven Framework for Detecting Business Logic Vulnerabilities in Smart Contracts
Arxiv
0+阅读 · 2月3日
MoveScanner: Analysis of Security Risks of Move Smart Contracts
Arxiv
0+阅读 · 2月2日
Enhancing Smart Contract Vulnerability Detection in DApps Leveraging Fine-Tuned LLM
Arxiv
0+阅读 · 1月31日
SmartBugBert: BERT-Enhanced Vulnerability Detection for Smart Contract Bytecode
Arxiv
0+阅读 · 1月31日
Security Analysis of Ponzi Schemes in Ethereum Smart Contracts
Arxiv
1+阅读 · 1月30日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
高维单调转移模型的变量选择及其在违约风险评估中的应用
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top