文章作者、来源：0x9999in1，ME News

TL;DR

• 截至2026年6月，AI驱动的智能合约审计已把一次基础漏洞扫描的价格从2022年的5万至25万美元压到5千至1.5万美元，交付时间从数周缩到48小时以内。
• Anthropic的Mythos模型在跑过1000个开源项目后揪出约23000个漏洞，是这轮"审计平民化"的标志性事件，但它在6月13日被从美国市场撤下，监管阴影才刚开始。
• DeFi原生漏洞损失从2022年的26.2亿美元高点降到2025年约6.8亿美元，跌幅74%；但同期加密资产被盗总额却涨46%到29.35亿美元，差额几乎全部被社工、私钥泄露、运营失误吞掉。
• 2026年Q2是DeFi被黑次数创纪录的一个季度：约70起事件，损失7.46亿美元；攻击者也在用AI批量扫未验证合约，半年内悄悄掏走3670万美元。
• Binance Research披露：在受控环境下，AI做"攻"的效率是做"防"的两倍；2025年诈骗钱包流入资金里约六成与AI相关。
• 行业共识正在悄悄改写——未来不做AI辅助审计的项目，可能直接被法律和市场判定为"疏忽"。

一、价格被打骨折，是这件事最朴素的真相加密安全这门生意，过去十年里有一个非常坚硬的成本结构。

一次像样的智能合约审计，2022年的市场报价是5万到25万美元，交付周期三到八周。这套数字背后，是Trail of Bits、OpenZeppelin、ConsenSys Diligence这些机构按"高级研究员人天"卖出来的稀缺性。小项目根本付不起。付得起的，也很少做第二次。

到2026年6月，这件事变了。

根据Fazen Markets援引的一份6月行业报告，CertiK、Quantstamp等公司提供的AI辅助初筛，价格已经压到5千到1.5万美元，48小时内出结果。简单算一下：相对2022年的对照点，降幅超过95%。

更关键的是，这不只是"打折"，是节奏被换了。过去审计是一次性快照，发布前请人体检一次，上线后就靠运气；现在更像每天跑一次的体检脚本，谁动了一行代码，谁就跑一次。SVRN的COO David Schwed把这种转变描述为"持续审计加可执行修复建议，成本只是过去单次审计的零头"。

ENS Labs的首席信息安全官Alexander Urbelis用了一句更狠的话：基础审计的价格正在被推向零。

零，是什么意思？意思是这道门槛不再是门槛。

二、Mythos搅了一池水，然后被监管捞了出来2026年4月，Anthropic放出一个叫Mythos的模型，定位就是自主发现代码漏洞。6月初它短暂开放过一段时间，跑了1000个开源项目，找出大约23000个漏洞。Zcash协议被它全量审了一遍，没找出新bug——这是个值得品味的细节，因为Zcash是被人类审计盯过最久的协议之一。

但故事在6月13日急转弯：Mythos被从美国市场下架，理由是国家安全。

这件事说明什么？

它说明两件事。第一，AI在合约审计上的能力已经不是玩具级别了，否则不会触发监管层级的反应。第二，整个安全工具的可获得性，未来很可能不是技术决定，而是出口管制、合规框架决定。

这跟过去的Slither、Mythril那一代静态分析工具完全不是一个量级。老的fuzzer是"撒数据、看哪里崩"，本质是确定性流程的复杂版。Mythos这类模型的关键差别，用Urbelis的话说，是"一个会推理的fuzzer"——它能猜出代码本来想做什么，再去对比代码实际在做什么。这是审计师才会做的事。

工具被下架了，但范式已经出来了。开源社区在跟进。CertiK、Quantstamp已经把类似能力商业化。这条河，回不去了。

三、数据有两个版本，看你站在哪一边数字最诚实，也最爱骗人。

第一个版本：DeFi原生漏洞造成的损失，从2022年26.2亿美元的高点，降到2025年的约6.8亿美元，跌幅74%。事件中位损失从600万美元降到150万美元。曾经统治排行榜的跨链桥攻击和闪电贷操纵，损失占比从73%和54%双双跌到3%和不到1%。

这个版本听起来像是胜利。

第二个版本：SlowMist的2025年度报告显示，全年加密被盗总额29.35亿美元，同比反而涨了46%。

为什么会这样？因为攻击向量在迁移。

2025年2月Bybit被盗15亿美元，干净利落，但跟智能合约没关系——是签名流程被操纵。2026年4月Drift被攻陷损失2.7亿美元，CoinDesk报道这是一场持续六个月的朝鲜情报行动，目标是被信任的贡献者，不是协议代码。Urbelis的原话是："智能合约严格按指令执行，被攻陷的是发出指令的那个人。"

再往后翻：2026年6月Humanity Protocol的桥被盗3600万美元以上，根因是一台员工笔记本被入侵，管理员密钥泄露，H代币当天跌掉八成。同期Syscoin的桥因为验证逻辑漏洞被铸出50亿枚SYS，被迫停桥。

代码层在变好。人这一层，没动。

Q2 2026按The Defiant的统计，是DeFi历史上被黑次数最高的一个季度：约70起事件，7.46亿美元蒸发。AI的好处是真的，问题也是真的。

四、AI不是中立的，它两边都站这是这轮变革里最容易被回避的事实。

Binance Research在受控实验里得到一个让人不舒服的结论：AI做"利用"的效率是做"检测"的两倍。Chainalysis今年6月发的报告也佐证了这一点——攻击者已经在用AI流水线扫未验证合约，把EVM字节码反编译成类Solidity代码，再让大模型挑出重入、越权、整型溢出这些常见模式。

战果是什么？过去六个月，五个DeFi协议被盗3670万美元，全部来自未验证合约。最大的一笔是1月8日的Truebit，2620万美元，漏洞是2021年就部署在那里的整数溢出。攻击者并不是偶然撞见，是系统性地扫了一整圈，挑了个肥的下手。

另一组数字更冷静：2025年流入诈骗钱包的资金，约60%与AI相关；涉及生成式模型的政策违规案例中，67%是恶意软件准备或DeFi漏洞侦查。

这种对称性，是这个行业必须直面的。

防御方拿到的，是"几乎免费的连续审计"；攻击方拿到的，是"几乎免费的连续扫描"。差别在哪？防御方有合规、伦理、品牌包袱，攻击方没有。攻击方失败一万次没成本，成功一次就发财；防御方失败一次就上头条。

那AI到底帮谁多一点？短期看，攻击方拿到的红利更直接。长期看，要看防御方能不能把"零成本审计"真正变成"零成本持续监控"。

五、尽职调查的新基线，正在被法律的味道烧出来来思考一个问题：当工具变得便宜到几乎免费，"我没做"这个理由还能用多久？

Urbelis说了一句值得每个项目方记在心里的话："一份干净的AI报告不会成为辩护理由；原告律师更可能反过来说——工具存在、便宜、容易拿到，你本该发现这个漏洞。"

这句话不是危言耸听。MIT和斯坦福2025年的对比研究显示，AI工具对重入、整型溢出这类常见严重漏洞的检出率已经到85%-90%，相当于初级人类审计师。资深团队能达到98%。换句话说，让AI先扫一遍，几乎是"零边际成本"的法律自保。

市场也在向这个方向走。Fazen Markets报道的数据显示，2026年Q1新部署的EVM项目里超过70%在开发周期内用过AI审计工具，2024年Q1这个比例只有22%。VC在2026年上半年向"AI+安全"赛道投入了4.2亿美元。Grand View Research给出的预测是，区块链安全总市场规模到2027年将达到187亿美元，复合增长率24.3%，是整体企业安全软件市场增速的两倍多。

新加坡金管局已经在合规框架里点名了AI辅助工具。欧盟MiCA将在2026年12月进入新一阶段实施，AI审计是否会被纳入合规标准，是接下来半年最值得盯的监管信号。

未来一个项目上线时如果两手空空——既没有人工审计，也没有AI报告——投资人会怎么看？保险方会怎么定价？律师会怎么写免责条款？答案已经很明显了。

六、人不会被替代，但人要做的事变了那么人类审计师呢？

会消失吗？不会。但工作内容会被重写。

AI擅长找的是"代码意图和代码行为对不上"这一类问题。它不擅长找的是另外几类：经济模型缺陷、激励机制博弈、权限滥用、社会工程。

Urbelis说得直白："那些真正能掏空金库的漏洞，往往是关于意图和对抗激励的，这些还是需要一个有经验的人坐在房间里。"Schwed的版本更刻薄："'Claude，请审计我的智能合约，不要犯错'——这不是安全方案。如果操作工具的人看不懂返回结果，你买的不是安全，是安全的幻觉。"

未来的加密安全团队，大概率是这样一个组合：AI跑全量、跑频次、跑通用模式；人类审计师跑经济模型、跑权限设计、跑跨协议博弈、跑Token经济学里那些只有读过白皮书才能闻出味道的设计缺陷。这是一个互补结构，不是替代结构。

OpenZeppelin的联合创始人最近放过一句更激进的话——所有DeFi都不安全。这句话有它的语境，也有它的渲染成分，但底层判断没错：在AI Agent可以自动签名、自动交互的世界里，前端、签名、私钥、运营，每一处都比合约本身更脆弱。

七、结语：审计费会归零，但风险不会这一轮变革的核心，不是"AI能不能做审计"，而是"审计的稀缺性彻底没了"。

稀缺性消失了，价格当然趋近于零。但风险不会跟着归零。它只是换了入口——从"代码"挪到了"人和流程"。

这件事的真正赢家会是谁？是把AI审计当成基础设施、把人力投在博弈和经济模型上的团队。是把"一次性快照"变成"每分钟心电图"的协议。是早早把工具、合规、保险、监控打包给项目方的安全公司。

输家也很清楚：靠"未验证合约+省下审计费"过日子的项目，未来几年会先被AI黑客找到；靠"贴一张审计报告就上线"的团队，未来几年会先被监管和原告律师找上门。

工具变便宜了，借口也变贵了。

这就是2026年夏天，加密安全行业站在的位置。

1. 引用来源：Margaux Nijkerk, "AI is making crypto security cheaper, faster and harder to ignore", CoinDesk, 2026年6月20日.
2. Fazen Markets, "AI Crypto Security Slashes Auditing Costs Below $10,000", 2026年6月.
3. Crypto Economy, "DeFi Hack Losses Fall as AI Pushes Crypto Security Into a New, More Advanced Era", 2026年.
4. The Crypto Times, "AI-Assisted Hackers Drain $36.7M From Hidden Smart Contracts in 2026", 2026年6月10日 (引Chainalysis报告).
5. The Defiant, "Q2 2026 Sets All-Time High for DeFi Hack Count With ~70 Exploits, $746M Stolen", 2026年.
6. Crypto Briefing, "Anthropic's Mythos AI model detects 23,000 vulnerabilities across 1,000 open source projects", 2026年.
7. SlowMist, 2025 Annual Security Report.
8. Immunefi, Crypto Losses Annual Report 2025.