夜雨聆风2026 年 5 月 12 日,安全审计初创公司 Grego AI 的联合创始人兼 CEO @0xriptide 在 X 平台公开披露:他们的 AI 系统在没有人工指引的情况下,在一份被多家头部审计机构反复审过的智能合约中,自主发现了一个临界级(critical)漏洞。该漏洞一旦被攻击者利用,可在单次攻击中直接抽走约 2770 万美元用户资金。项目方通过 HackenProof 平台向 Grego AI 支付了 25 万美元的最高严重度赏金。HackenProof 在官方账号中称,这"可能是迄今 AI 审计员单笔获得的最高赏金"。
涉事协议名称未在公开披露中给出。Grego AI 团队称漏洞已由项目方修复后才公开。
这件事的背景是
Grego AI 给自己设定的命题,是绕过"人类审计师的认知上限"。
公司联合创始人 @0xriptide 在长帖里写到一个观察:即便是世界顶级的安全研究员,在追踪相互调用的系统时,大约只能稳定地"装"下 4 到 5 层的交互逻辑。再往下,工作记忆就会撑不住。而真正活下来、躲过多轮审计的临界漏洞,往往就藏在那条认知线以下的位置。
这并不只是一家创业公司的自我陈述。Anthropic 前沿红队(Frontier Red Team)在 2025 年 12 月 1 日发布的研究里也得出了一个相近结论:在他们构建的 SCONE-bench(包含 2020–2025 年间已被实际攻破的 405 份合约)上,Claude Opus 4.5、Sonnet 4.5 与 GPT-5 在"模型知识截止日之后才被攻破"的合约部分,已经能联合做出累计价值约 460 万美元的有效攻击;从一年前的 2% 漏洞挖掘命中率,跃升到了 55.88%。Anthropic 给出的单次完整扫描平均成本是 1.22 美元。
那篇红队报告的实验全部在沙箱环境里完成,没有触碰真实主网。Grego AI 这次的不同之处,是把同类能力放到了一个真在跑、真在管钱、且已被多次审计的活合约上。
Grego 是怎么做的
按照 @0xriptide 的描述,整个流程被命名为"深度不变量分析"(Deep Invariant Analysis),核心几步是这样:
第一步是"摄入"。系统把目标协议的整套代码读进去,把每一个模块、每一条依赖、每一对模块之间的交互画成图。
第二步是"追路径"。系统不是去匹配已知漏洞模板,而是寻找"应当永远成立"的不变量——例如某个余额永远等于另几个状态变量之和——然后沿着执行路径推演,在什么样的极端条件下这个不变量会被打破。
第三步是"分头试"。当某条路径看上去可疑时,主智能体会派出多个子智能体,并行地从不同角度去构造攻击。这一步突破了"单一大模型一次推理一条链"的局限。
第四步是"在沙箱里写真攻击"。子智能体把候选攻击路径搬到隔离环境里,自动写概念验证(PoC),运行,失败就改,直到能稳定复现一个真实可执行的攻击序列。
第五步才是叫人。Grego AI 团队接到的是一份能复现、能验证、能直接交给项目方的临界漏洞报告。团队通过 HackenProof 走正式披露流程,协议方确认、修复,并支付 25 万美元最高级赏金。
Grego AI 把这种结构概括为"在已有模型之上的推理架构"——他们的说法是,前沿模型本身已经具备相应能力,只是默认运行方式让它停在了大约 30% 的发挥水平,靠外层的不变量分析、子智能体调度、沙箱迭代把它推到更深。
人类审计 vs AI 审计的"层数"差
@0xriptide 在长帖里给的描述是:人类审计员稳定能跟踪 4–5 层系统交互,Grego 的系统目标是跨 7 层以上。具体数字没有第三方验证,应理解为公司自陈。但"AI 能比人类多看几层"这件事本身,已经能从多源信息上交叉印证。
公开资料显示,Grego AI 的 HackenProof 个人页(hackenproof.com/hackers/gregoai)目前记录了 4 份已付款报告,其中 2 份为"临界"(Critical)等级,1 份"中"(Medium),1 份"低"(Low)。Grego AI 官网(grego.ai)列出他们在 Lido、Centrifuge、Dawn Protocol、Seba、Royco、Tempo、GenLayer、Dxai 等协议上做过深度复查,并提及在 Lido 这种锁仓量约 330 亿美元的协议里发现了头部审计未覆盖的高影响漏洞。
目前能确认的信息
从已公开内容看,可以这样总结:
公开可核实的是:Grego AI 是一家真实存在的安全审计创业公司,由 @0xriptide 和 @0xitsgreg 联合创办,今天(5 月 12 日)才正式从隐身模式中走出来对外发布。HackenProof 已通过官方账号公开认可这笔 25 万美元支付,并指出 Grego AI 已在 HackenProof 平台累计交付 4 份付费报告。Anthropic 前沿红队 2025 年 12 月的研究为"AI 能在主网级合约上找到真漏洞"的能力轨迹提供了同期、独立的产业坐标。
公开未披露的部分:本次 2770 万美元规模的临界漏洞所在协议名称、漏洞具体技术细节、PoC 代码、以及项目方与 Grego AI 之间的服务/分润关系。"7 层以上交互追踪""模型只在用 30% 实力"这类描述属于公司自陈,目前没有第三方实验佐证。
可以说今天发生的事件,是把过去 12 个月里学术与红队层面的"AI 能找到真漏洞"的趋势,第一次以一笔最高级赏金的形式,落到了真实跑着用户资金的主网协议上。
