Los agentes de IA de la Fundación Ethereum detectan una vulnerabilidad CVE-2026-34219 en el código de libp2p

ETH2,55%

La Fundación Ethereum desplegó agentes de IA para auditar su base de código y descubrió CVE-2026-34219, un fallo que puede activarse de forma remota en la capa de red gossipsub de libp2p, según una publicación en el blog publicada el 9 de julio por Nikos Baxevanis, de su equipo de seguridad de protocolos. Las pruebas revelaron que un agente generó aproximadamente 1.000 hallazgos candidatos, con un 86% de las recomendaciones de mayor nivel que sobrevivieron a la revisión de expertos. La fundación concluyó que validar los informes generados por IA, en lugar de descubrir fallos, representa el principal cuello de botella del trabajo en auditorías de seguridad asistidas por IA.

Fundación Ethereum descubre una vulnerabilidad crítica en gossipsub

Los agentes de IA detectaron un pánico activable de forma remota en gossipsub, parte de la capa de red peer-to-peer libp2p sobre la que operan los clientes de consenso de Ethereum. El fallo fue corregido y divulgado como CVE-2026-34219. La fundación señaló que, si un atacante hubiera descubierto esta vulnerabilidad primero, podría haberse usado para interrumpir nodos en toda la red.

La publicación del blog, titulada “The triage is the product”, detalló cómo la mayoría de los problemas marcados resultaron ser falsos positivos, a pesar de contener fallos reales mezclados. La fundación catalogó patrones recurrentes de falsas alarmas, incluyendo bloqueos que solo ocurren en builds de depuración y nunca en producción, reproductores que dependen de valores internos inalcanzables que ningún atacante podría proporcionar, y pruebas de verificación formal que son técnicamente ciertas pero tan poco acotadas que no demuestran nada.

La fundación identifica el triage como el principal cuello de botella

La fundación afirmó que la sorpresa no era que los agentes de IA pudieran encontrar fallos, sino “cuánto poco trabajo se hizo para encontrarlos, y cuánto para distinguir los fallos reales de los que solo parecían reales”. El equipo implementó un estándar probatorio estricto resumido como “reproducible o no ocurrió”. Ahora se exige que cada hallazgo candidato se entregue con un artefacto autocontenido que reproduzca el fallo contra el código real, independientemente de cuán seguro afirme estar el agente que reporta.

La fundación describió a los agentes como generadores de hipótesis organizados en etapas de recon, hunting, gap-filling y validation, con humanos tomando la decisión final. La carga de trabajo no ha desaparecido, sino que simplemente se ha desplazado aguas abajo al triage, donde los ingenieros experimentados separan la señal de la simulación.

Los agentes de IA logran una tasa de validación del 86% en pruebas

El blog proporcionó datos de referencia para el rendimiento de las herramientas de la generación actual. Un agente de testing basado en propiedades generó aproximadamente 1.000 hallazgos candidatos. Tras la revisión de expertos, aproximadamente el 86% de sus recomendaciones de mayor nivel sobrevivieron al escrutinio. La fundación señaló que esta tasa es buena para una máquina, pero aún así exige un filtro humano antes de que algo toque código de producción.

Las herramientas están encontrando vulnerabilidades reales en infraestructura crítica, socavando la idea de que los reportes de fallos generados por IA son puro ruido. Para una red que protege cientos de miles de millones de dólares en valor, el filtro de validación humana sigue siendo esencial.

Programa de apoyo al ecosistema financia subvenciones de seguridad con IA

La fundación está tratando este trabajo como una iniciativa continua y no como un experimento único. Su Programa de Apoyo al Ecosistema está financiando una ronda de subvenciones dedicada a la seguridad de protocolos impulsada por IA, que cubre investigación, auditorías y detección de vulnerabilidades.

FAQ

¿Qué vulnerabilidad descubrieron los agentes de IA de Ethereum Foundation?
Los agentes de IA descubrieron CVE-2026-34219, un fallo activable de forma remota en la capa de red gossipsub de libp2p utilizada por los clientes de consenso de Ethereum. El fallo fue corregido y divulgado después del descubrimiento.

¿Cuántos hallazgos candidatos generaron los agentes de IA?
Un agente de testing basado en propiedades generó aproximadamente 1.000 hallazgos candidatos, con alrededor de un 86% de las recomendaciones de mayor nivel que sobrevivieron a la revisión de expertos por el equipo de seguridad de la fundación.

¿Qué concluyó la Ethereum Foundation sobre la auditoría de seguridad asistida por IA?
La fundación concluyó que el triage y la validación de los informes generados por IA, en lugar del descubrimiento de fallos en sí, representa el principal cuello de botella del trabajo en auditorías de seguridad asistidas por IA.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios