BlockSec: La IA aún no puede reemplazar a los humanos en la auditoría de contratos inteligentes

La empresa de seguridad BlockSec ha realizado una revisión del estándar de evaluación de auditorías de contratos inteligentes mediante IA llamado EVMBench, desarrollado por OpenAI y Paradigm. Los resultados muestran que los bots de IA son significativamente menos efectivos cuando enfrentan escenarios de explotación reales.

El equipo de investigación amplió el entorno de pruebas con más configuraciones de modelos y añadió incidentes de seguridad recientes, datos que no habían sido vistos en el entrenamiento de los modelos de IA.

Aunque la IA aún no puede reemplazar a los expertos en seguridad, el informe destaca que la inteligencia artificial puede desempeñar un papel complementario natural en el proceso de revisión de código humano.

Los resultados iniciales de EVMBench pueden ser demasiado optimistas

EVMBench evaluó previamente tareas de seguridad en contratos inteligentes como detección, corrección y explotación de vulnerabilidades, con resultados considerados muy impresionantes. Según el informe, la IA puede explotar el 72% y detectar aproximadamente el 45% de las vulnerabilidades, basándose en 120 muestras seleccionadas de auditorías de Code4rena.

Sin embargo, BlockSec sostiene que las condiciones iniciales de las pruebas pudieron haber sesgado los resultados. Yajin Zhou, cofundador, afirmó que al repetir las pruebas con más configuraciones y 22 incidentes de ataque reales, la tasa de éxito en explotación de la IA fue del 0%.

Ampliación de configuraciones y eliminación de “contaminación de datos”

La investigación aumentó el número de configuraciones de modelos de 14 a 26, combinando de manera flexible bots con diferentes “andamios” en lugar de limitarse al ecosistema de cada proveedor. Según el equipo, el método anterior dificultaba distinguir si el rendimiento se debía a la capacidad del modelo o a ventajas arquitectónicas.

Además, BlockSec cuestiona la “contaminación de datos”, ya que EVMBench utilizó vulnerabilidades previamente divulgadas, que podrían haber estado en los datos de entrenamiento de la IA. Para solucionar esto, probaron 22 incidentes de seguridad ocurridos después de febrero de 2026, fuera de la “ventana de conocimiento” de los modelos.

La IA fracasó completamente en explotaciones reales

El resultado más destacado: en 110 pruebas entre agentes y incidentes (5 agentes en 22 situaciones), no hubo ningún caso de explotación completa exitosa. Esto demuestra que incluso las IA más avanzadas aún están lejos de poder realizar ataques en escenarios reales.

Sin embargo, en detección de vulnerabilidades, los resultados siguen siendo relativamente positivos. El modelo Claude Opus 4.6 logró detectar 13 de 20 vulnerabilidades en la práctica.

Las vulnerabilidades comunes y conocidas son fácilmente detectadas por la IA, pero los casos más complejos casi siempre se pasan por alto.

El futuro es la colaboración entre IA y humanos

La investigación concluye que la IA aún no puede reemplazar a los humanos en auditorías de seguridad, y la pregunta más importante es cómo coordinar eficazmente a ambas partes.

La IA tiene ventajas en cobertura y capacidad de escaneo a gran escala, mientras que los humanos sobresalen en análisis profundo, comprensión de protocolos y razonamiento adversarial. Ambos aspectos son complementarios.

Según BlockSec, el camino correcto no es reemplazar a los humanos con IA, sino construir un modelo de colaboración entre ambos para lograr auditorías más completas y efectivas.

Shach Sanh