Les agents IA de la Fondation Ethereum révèlent une vulnérabilité CVE-2026-34219 dans le code de libp2p

ETH2,55%

La Fondation Ethereum a déployé des agents d’IA pour auditer sa base de code et a découvert la CVE-2026-34219, un bug déclenchable à distance dans la couche de réseautage gossipsub de libp2p, selon un billet de blog publié le 9 juillet par Nikos Baxevanis, membre de l’équipe de sécurité des protocoles de la fondation. Les tests ont révélé qu’un agent a généré environ 1 000 pistes candidates, dont 86 % des recommandations de premier niveau ont survécu à un examen par des experts. La fondation a conclu que valider les rapports générés par l’IA, plutôt que découvrir des bugs, constitue le principal goulot d’étranglement en termes de charge de travail dans l’audit de sécurité assisté par l’IA.

Fondation Ethereum : découverte d’une vulnérabilité critique dans gossipsub

Les agents d’IA ont mis en évidence une vulnérabilité déclenchable à distance dans gossipsub, faisant partie de la couche de réseautage pair-à-pair libp2p sur laquelle s’appuient les clients de consensus Ethereum. Le défaut a été corrigé et divulgué sous la référence CVE-2026-34219. La fondation a noté que si un attaquant avait découvert cette vulnérabilité en premier, elle aurait pu être utilisée pour perturber des nœuds à travers l’ensemble du réseau.

Le billet de blog, intitulé « The triage is the product », détaille comment la majorité des problèmes signalés se sont avérés être des faux positifs, malgré la présence de vrais bugs dans le mélange. La fondation a répertorié des schémas récurrents de fausses alertes, notamment des crashs qui n’apparaissent que dans les versions de debug et jamais en production, des reproducteurs reposant sur des valeurs internes inatteignables qu’aucun attaquant ne pourrait fournir, et des preuves de vérification formelle techniquement vraies mais tellement non contraignantes qu’elles ne démontrent rien.

La fondation identifie le triage comme goulot d’étranglement principal

La fondation a déclaré que la surprise ne venait pas du fait que les agents d’IA puissent trouver des bugs, mais de « la faible part du travail consacrée à les trouver, et de la grande part consacrée à distinguer les vrais bugs de ceux qui ne faisaient que sembler réels ». L’équipe a mis en place une norme stricte de preuve, résumée par « reproductible ou ça n’a pas eu lieu ». Chaque piste candidate doit désormais être accompagnée d’un artefact autonome qui reproduit l’échec sur le code réel, indépendamment de la confiance que l’agent de reporting affirme avoir.

La fondation décrit les agents comme des générateurs d’hypothèses organisés en étapes de recon, de chasse, de comblement des lacunes et de validation, les humains prenant la décision finale. La charge de travail n’a pas disparu : elle s’est simplement déplacée en aval vers le triage, où des ingénieurs expérimentés séparent le signal de la simulation.

Les agents d’IA atteignent un taux de validation de 86 % lors des tests

Le billet de blog fournit des données de référence sur les performances des outils de nouvelle génération. Un agent de test basé sur les propriétés a généré environ 1 000 pistes candidates. Après examen par des experts, environ 86 % de ses recommandations de premier niveau ont survécu à un examen minutieux. La fondation a noté que ce taux est solide pour une machine, mais qu’il nécessite tout de même un filtre humain avant qu’il n’atteigne le code de production.

Les outils mettent au jour de vraies vulnérabilités dans des infrastructures critiques, ce qui contredit l’idée que les rapports de bugs générés par l’IA ne seraient que du bruit. Pour un réseau qui sécurise une valeur de plusieurs centaines de milliards de dollars, le filtre de validation humain reste indispensable.

Le programme de soutien à l’écosystème finance des subventions pour la sécurité par IA

La fondation considère ce travail comme une initiative continue plutôt qu’une expérience ponctuelle. Son programme de soutien à l’écosystème finance un cycle dédié de subventions pour la sécurité des protocoles alimentée par l’IA, couvrant la recherche, l’audit et la détection des vulnérabilités.

FAQ

Quelle vulnérabilité les agents d’IA de la Fondation Ethereum ont-ils découverte ?
Les agents d’IA ont mis au jour la CVE-2026-34219, un bug déclenchable à distance dans la couche de réseautage gossipsub de libp2p utilisée par les clients de consensus Ethereum. Le défaut a été corrigé et divulgué après sa découverte.

Combien de pistes candidates les agents d’IA ont-ils générées ?
Un agent de test basé sur les propriétés a généré environ 1 000 pistes candidates, avec environ 86 % des recommandations de premier niveau ayant survécu à l’examen par des experts de l’équipe de sécurité de la fondation.

Que conclut la Fondation Ethereum concernant l’audit de sécurité assisté par l’IA ?
La fondation conclut que le triage et la validation des rapports générés par l’IA, plutôt que la découverte de bugs elle-même, représentent le principal goulot d’étranglement en termes de charge de travail dans l’audit de sécurité assisté par l’IA.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire