Фонд Ethereum розгорнув AI-агентів для аудиту своєї кодової бази та виявив CVE-2026-34219 — віддалено ініційований баг у мережевому шарі gossipsub у libp2p, повідомляється в дописі в блозі, опублікованому 9 липня Ніком Баксаванісом із протокольної групи безпеки фонду. Тестування показало, що один агент згенерував приблизно 1 000 кандидатських знахідок, а 86% топових рекомендацій пройшли експертну перевірку. Фонд дійшов висновку, що основним вузьким місцем у безпековому аудиті з підтримкою AI є не виявлення багів, а валідація звітів, створених AI.
AI-агенти виявили віддалено ініційовану паніку в gossipsub — частині мережевого шару libp2p peer-to-peer, на якому працюють клієнти консенсусу Ethereum. Порок було виправлено й розкрито як CVE-2026-34219. Фонд зазначив, що якби зловмисник виявив цю вразливість першим, її можна було б використати для порушення роботи вузлів у всій мережі.
Допис у блозі під назвою «The triage is the product» детально пояснив, як більшість позначених проблем зрештою виявилися хибними спрацьовуваннями, попри те, що серед них були й реальні баги. Фонд задокументував повторювані патерни хибних тривог, зокрема краші, які трапляються лише в debug-збірках і ніколи в production, відтворювачі, що покладаються на недосяжні внутрішні значення, які не міг надати жоден атакувальник, а також докази формальної верифікації, які технічно правильні, але настільки недостатньо обмежені, що не показують нічого.
Фонд заявив, що несподіванкою було не те, що AI-агенти здатні знаходити баги, а те, «скільки мало роботи було вкладено у їхнє виявлення і скільки — у відокремлення справжніх багів від тих, що лише виглядали правдоподібно». Команда запровадила жорсткий доказовий стандарт, який підсумували як «відтворювано, або цього не було». Тепер кожна кандидатська знахідка має поставлятися разом із самодостатнім артефактом, який відтворює збій на фактичному коді, незалежно від того, наскільки агент, що формує звіт, стверджує свою впевненість.
Фонд описав агентів як генераторів гіпотез, організованих у стадії recon, hunting, gap-filling і validation, причому люди ухвалюють фінальне рішення. Навантаження не зникло — воно просто перемістилося вниз по процесу до triage, де досвідчені інженери відокремлюють сигнал від симуляції.
Допис у блозі надав бенчмаркові дані для продуктивності інструментів поточного покоління. Агент, що використовує тестування на основі властивостей, згенерував приблизно 1 000 кандидатських знахідок. Після експертної перевірки приблизно 86% його топових рекомендацій пройшли прискіпливу оцінку. Фонд зазначив, що такий рівень є сильним для машини, але все одно вимагає людського фільтра, перш ніж будь-що потрапить у production-код.
Інструменти знаходять реальні вразливості в критичній інфраструктурі, спростовуючи відмахування від AI-згенерованих звітів про баги як чистого шуму. Для мережі, що захищає цінність на суму сотень мільярдів доларів, людський фільтр валідації лишається критично необхідним.
Фонд ставиться до цієї роботи як до триваючої ініціативи, а не до разового експерименту. Його Програма підтримки екосистеми фінансує окремий раунд грантів для протокольної безпеки на базі AI, охоплюючи дослідження, аудит і виявлення вразливостей.
Яку вразливість виявили AI-агенти Ethereum Foundation?
AI-агенти виявили CVE-2026-34219 — віддалено ініційований баг у мережевому шарі gossipsub libp2p, який використовують клієнти консенсусу Ethereum. Дефект було виправлено та розкрито після виявлення.
Скільки кандидатських знахідок згенерували AI-агенти?
Один агент із тестування на основі властивостей згенерував приблизно 1 000 кандидатських знахідок, а близько 86% топових рекомендацій пройшли експертну перевірку командою безпеки фонду.
До чого дійшов Ethereum Foundation щодо безпекового аудиту з підтримкою AI?
Фонд дійшов висновку, що triage та валідація звітів, згенерованих AI, а не саме виявлення багів, становлять основне вузьке місце в безпековому аудиті з підтримкою AI.
Пов’язані новини
Кембриджські дослідження: 31% нод Ethereum у США, третина з них не працює — це гальмує завершення фіналізації
NEC Partners об’єднується з Ava Labs для створення платформи Blockchain Facial ID для відвідувачів із Японії
Фонд Ethereum розпустив команду підтримки пропозиції; механізм узгодження EIP стикається з вакуумом