La Fundación Ethereum desplegó agentes de IA para auditar su base de código y descubrió CVE-2026-34219, un fallo que puede activarse de forma remota en la capa de red gossipsub de libp2p, según una publicación en el blog publicada el 9 de julio por Nikos Baxevanis, de su equipo de seguridad de protocolos. Las pruebas revelaron que un agente generó aproximadamente 1.000 hallazgos candidatos, con un 86% de las recomendaciones de mayor nivel que sobrevivieron a la revisión de expertos. La fundación concluyó que validar los informes generados por IA, en lugar de descubrir fallos, representa el principal cuello de botella del trabajo en auditorías de seguridad asistidas por IA.
Los agentes de IA detectaron un pánico activable de forma remota en gossipsub, parte de la capa de red peer-to-peer libp2p sobre la que operan los clientes de consenso de Ethereum. El fallo fue corregido y divulgado como CVE-2026-34219. La fundación señaló que, si un atacante hubiera descubierto esta vulnerabilidad primero, podría haberse usado para interrumpir nodos en toda la red.
La publicación del blog, titulada “The triage is the product”, detalló cómo la mayoría de los problemas marcados resultaron ser falsos positivos, a pesar de contener fallos reales mezclados. La fundación catalogó patrones recurrentes de falsas alarmas, incluyendo bloqueos que solo ocurren en builds de depuración y nunca en producción, reproductores que dependen de valores internos inalcanzables que ningún atacante podría proporcionar, y pruebas de verificación formal que son técnicamente ciertas pero tan poco acotadas que no demuestran nada.
La fundación afirmó que la sorpresa no era que los agentes de IA pudieran encontrar fallos, sino “cuánto poco trabajo se hizo para encontrarlos, y cuánto para distinguir los fallos reales de los que solo parecían reales”. El equipo implementó un estándar probatorio estricto resumido como “reproducible o no ocurrió”. Ahora se exige que cada hallazgo candidato se entregue con un artefacto autocontenido que reproduzca el fallo contra el código real, independientemente de cuán seguro afirme estar el agente que reporta.
La fundación describió a los agentes como generadores de hipótesis organizados en etapas de recon, hunting, gap-filling y validation, con humanos tomando la decisión final. La carga de trabajo no ha desaparecido, sino que simplemente se ha desplazado aguas abajo al triage, donde los ingenieros experimentados separan la señal de la simulación.
El blog proporcionó datos de referencia para el rendimiento de las herramientas de la generación actual. Un agente de testing basado en propiedades generó aproximadamente 1.000 hallazgos candidatos. Tras la revisión de expertos, aproximadamente el 86% de sus recomendaciones de mayor nivel sobrevivieron al escrutinio. La fundación señaló que esta tasa es buena para una máquina, pero aún así exige un filtro humano antes de que algo toque código de producción.
Las herramientas están encontrando vulnerabilidades reales en infraestructura crítica, socavando la idea de que los reportes de fallos generados por IA son puro ruido. Para una red que protege cientos de miles de millones de dólares en valor, el filtro de validación humana sigue siendo esencial.
La fundación está tratando este trabajo como una iniciativa continua y no como un experimento único. Su Programa de Apoyo al Ecosistema está financiando una ronda de subvenciones dedicada a la seguridad de protocolos impulsada por IA, que cubre investigación, auditorías y detección de vulnerabilidades.
¿Qué vulnerabilidad descubrieron los agentes de IA de Ethereum Foundation?
Los agentes de IA descubrieron CVE-2026-34219, un fallo activable de forma remota en la capa de red gossipsub de libp2p utilizada por los clientes de consenso de Ethereum. El fallo fue corregido y divulgado después del descubrimiento.
¿Cuántos hallazgos candidatos generaron los agentes de IA?
Un agente de testing basado en propiedades generó aproximadamente 1.000 hallazgos candidatos, con alrededor de un 86% de las recomendaciones de mayor nivel que sobrevivieron a la revisión de expertos por el equipo de seguridad de la fundación.
¿Qué concluyó la Ethereum Foundation sobre la auditoría de seguridad asistida por IA?
La fundación concluyó que el triage y la validación de los informes generados por IA, en lugar del descubrimiento de fallos en sí, representa el principal cuello de botella del trabajo en auditorías de seguridad asistidas por IA.
Noticias relacionadas
Investigación de Cambridge: El 31 % de los nodos de Ethereum en EE. UU., un tercio desconectado, impide la finalización
NEC se asocia con Ava Labs en una plataforma de identificación facial en blockchain para visitantes de Japón
El equipo de soporte de la Fundación Ethereum se disuelve y el mecanismo de coordinación de EIP queda sin respaldo