قامت مؤسسة Ethereum بنشر وكلاء ذكاء اصطناعي لتدقيق قاعدة كودها واكتشفت CVE-2026-34219، وهي ثغرة يمكن تشغيلها عن بُعد في طبقة gossipsub ضمن شبكة libp2p، وذلك بحسب منشور مدونة نُشر في 9 يوليو من قِبل Nikos Baxevanis من فريق أمن البروتوكولات بالمؤسسة. كشفت الاختبارات أن أحد الوكلاء ولّد ما يقارب 1,000 تقرير مرشّح، مع استمرار 86% من أبرز التوصيات بعد المراجعة الخبيرة. خلصت المؤسسة إلى أن التحقق من التقارير التي ينتجها الذكاء الاصطناعي، بدلًا من اكتشاف الأخطاء نفسها، يمثل الاختناق الأساسي في سير العمل عند تدقيق الأمن المسانَد بالذكاء الاصطناعي.
أبرزت وكلاء الذكاء الاصطناعي حالة هلع يمكن تشغيلها عن بُعد داخل gossipsub، وهو جزء من طبقة شبكة نظير إلى نظير libp2p التي تعمل عليها عملاء إجماع Ethereum. تم إصلاح العيب والكشف عنه بوصفه CVE-2026-34219. لاحظت المؤسسة أنه لو كان مهاجم قد اكتشف هذه الثغرة أولاً، لكان يمكن استخدامها لتعطيل العقد عبر الشبكة.
استعرض منشور المدونة، المعنون "The triage is the product"، كيف أن غالبية القضايا التي تم الإبلاغ عنها اتضح أنها إنذارات زائفة رغم احتوائها على أخطاء حقيقية ضمن الخليط. وثّقت المؤسسة أنماطًا متكررة من الإنذارات الزائفة، بما في ذلك تعطل يحدث فقط في إصدارات التصحيح ولا يحدث في الإنتاج، وقابلين لإعادة الإنتاج يعتمدون على قيم داخلية غير قابلة للوصول لا يمكن لأي مهاجم توفيرها، وبراهين تحقق رسمي صحيحة من الناحية التقنية لكنها غير مقيدة لدرجة أنها لا تُظهر شيئًا.
ذكرت المؤسسة أن المفاجأة لم تكن في أن وكلاء الذكاء الاصطناعي يستطيعون العثور على أخطاء، بل في "مدى ضآلة العمل المبذول في العثور عليها، وكمية العمل المبذولة في التمييز بين الأخطاء الحقيقية وبين تلك التي تبدو حقيقية فقط". نفّذ الفريق معيارًا صارمًا للأدلة اختصره بوصفه "قابل لإعادة الإنتاج وإلا لم يحدث". أصبحت كل نتيجة مرشحة الآن مطالَبة بأن تُرفق بقطعة أثرية ذاتية الاكتمال تُعيد إنتاج العطل مقابل الكود الفعلي، بغض النظر عن مدى ثقة وكيل الإبلاغ.
وصفت المؤسسة الوكلاء بوصفهم مولدات للفرضيات منظّمة إلى مراحل الاستطلاع (recon) والصيد (hunting) وملء الفجوات (gap-filling) والتحقق (validation)، بينما يتخذ البشر القرار النهائي. لم تختفِ كمية العمل، بل تحركت فحسب إلى ما بعد ذلك في مرحلة التَّصنيف (triage)، حيث يفصل مهندسون ذوو خبرة بين الإشارة والمحاكاة.
قدّم منشور المدونة بيانات مرجعية لأداء الأدوات في الجيل الحالي. ولّد وكيل لاختبار قائم على الخصائص نحو 1,000 نتيجة مرشحة. وبعد المراجعة الخبيرة، نجا نحو 86% من توصياته الأعلى مستوى من التدقيق. أشارت المؤسسة إلى أن هذه النسبة قوية بالنسبة لآلة، لكنها لا تزال تتطلب فلتراً بشريًا قبل أن يطال أي شيء كود الإنتاج.
تُظهر الأدوات أنها تعثر على ثغرات حقيقية في بنية تحتية حرجة، مما يُضعف التبرير القائل بأن تقارير الأخطاء الناتجة عن الذكاء الاصطناعي مجرد ضجيج. وبالنسبة لشبكة تُؤمّن قيمة تصل إلى مئات المليارات من الدولارات، يبقى الفلتر البشري للتحقق ضروريًا.
تتعامل المؤسسة مع هذا العمل بوصفه مبادرة مستمرة، لا مجرد تجربة لمرة واحدة. يموّل برنامج Ecosystem Support Program جولة منح مخصصة لأمن البروتوكولات المدعوم بالذكاء الاصطناعي، تشمل البحث والتدقيق وكشف الثغرات.
ما الثغرة التي اكتشفتها وكلاء ذكاء اصطناعي في مؤسسة Ethereum؟
اكتشفت وكلاء الذكاء الاصطناعي CVE-2026-34219، وهي ثغرة يمكن تشغيلها عن بُعد في طبقة gossipsub ضمن libp2p المستخدمة من قِبل عملاء إجماع Ethereum. تم إصلاح العيب والكشف عنه بعد اكتشافه.
كم عدد نتائج المرشحين التي ولّدتها وكلاء الذكاء الاصطناعي؟
ولّد وكيل اختبار قائم على الخصائص ما يقارب 1,000 نتيجة مرشحة، مع بقاء حوالي 86% من توصياته الأعلى مستوى بعد المراجعة الخبيرة من فريق أمن المؤسسة.
ماذا خلصت إليه مؤسسة Ethereum بخصوص تدقيق الأمن المسانَد بالذكاء الاصطناعي؟
خلصت المؤسسة إلى أن التصنيف والتحقق من التقارير الناتجة عن الذكاء الاصطناعي، وليس اكتشاف الأخطاء بحد ذاته، يمثل الاختناق الأساسي في سير العمل عند تدقيق الأمن المسانَد بالذكاء الاصطناعي.
أخبار ذات صلة
بحث من جامعة كامبريدج: 31% من عُقد إيثريوم في الولايات المتحدة، وتعطّل ثُلثها دون اتصال يعرقل عملية التوثيق النهائية
تتعاون NEC مع Ava Labs بشأن منصة هوية الوجه على سلسلة الكتل لزوار اليابان
مؤسسة إيثريوم توافق على حل فريق الدعم، وآلية تنسيق EIP تواجه فراغًا