Фонд Ethereum використовує ШІ-агенти для виявлення вразливостей у мережі

ETH0,66%
ZEC4,66%

Команда протокольної безпеки Ethereum Foundation розгорнула агентів штучного інтелекту для тестування критичної інфраструктури мережі, про що повідомила у блозі в четвер. Агенти виявили кілька вразливостей, зокрема віддалено активовану паніку в libp2p gossipsub, яка була оприлюднена як CVE-2026-34219 на Github. Тестування безпеки за допомогою штучного інтелекту відображає впровадження практик червоних команд у Foundation, коли організації атакують власні системи для виявлення слабких місць до того, як їх знайдуть зловмисники.

Ethereum Foundation розгортає спеціалізовані ролі агентів штучного інтелекту

Ethereum Foundation організувала агентів штучного інтелекту у спеціалізовані ролі, зокрема розвідку, пошук цілей, заповнення прогалин і верифікацію. Деякі агенти шукають можливі шляхи атаки, тоді як інші намагаються відтворити збої та перевірити їхню роботу з виробничим кодом. Агенти тестували системне програмне забезпечення, криптографічний код і смарт-контракти, від яких залежить мережа Ethereum.

Дослідники зазначили, що виявлення помилок агентами не стало несподіванкою, але розподіл роботи — так. "Найбільшим сюрпризом було те, скільки роботи пішло на відрізнення справжніх помилок від тих, що просто виглядали реальними," — йдеться у блозі.

Агенти штучного інтелекту виявили вразливість libp2p CVE-2026-34219

Одна з вразливостей, знайдених агентами, — віддалено активована паніка в libp2p gossipsub, частині рівня peer-to-peer, що використовується клієнтами консенсусу Ethereum. Foundation виправила цю проблему і оприлюднила її на Github як CVE-2026-34219.

Foundation порівняла агентів штучного інтелекту з фуззерами — інструментами для тестування програмного забезпечення на наявність вразливостей. На відміну від фуззерів, агенти можуть генерувати звіти про вразливості, оцінювати їхній вплив і створювати тестові прототипи. Дослідники встановили правило валідації: "Кандидат не є виявленням, поки не з’явиться самодостатній артефакт, що відтворює збої у реальному коді і працює для того, хто його не створював."

Моделі Claude від Anthropic виявили недоліки Firefox і Zcash

Claude Mythos від Anthropic виявив 271 вразливість у браузері Mozilla Firefox у квітні. Дослідник безпеки Тейлор Хорбі використав Claude Opus 4.8 у травні під час аудиту з підтримкою штучного інтелекту, що виявив критичну вразливість у приватному пулі Zcash Orchard.

Недолік у Zcash існував близько чотирьох років і міг дозволити зловмиснику створювати підроблені ZEC без очевидної сліду на блокчейні. За словами джерела, готується оновлення мережі для відновлення довіри до пропозиції Zcash.

Людські дослідники підтверджують результати, згенеровані штучним інтелектом

Звітності штучного інтелекту можуть здаватися переконливими, навіть коли вони неправильні, тому дослідники повинні відфільтровувати дублікати, хибні позитиви і вразливості, які насправді не можна експлуатувати. Дослідники Ethereum Foundation зазначили, що детальні висновки не завжди означають правильні.

"ШІ не замінив дослідника безпеки. Він переніс роботу," — заявили у Foundation. "Агенти дозволили нам охопити набагато більше, ніж ми могли б вручну. В обмін вони вимагають більш обережного судження, враховуючи набагато більшу кількість тверджень, що звучать впевнено." Команда додала, що судження — це справжній продукт у процесі безпеки з підтримкою штучного інтелекту.

Часті запитання

Яку вразливість виявили агенти Ethereum Foundation у libp2p?

Агенти виявили віддалено активовану паніку в libp2p gossipsub, частині рівня peer-to-peer, що використовується клієнтами консенсусу Ethereum. Foundation виправила і оприлюднила цю проблему на Github як CVE-2026-34219.

Скільки вразливостей знайшов Claude Mythos від Anthropic у Firefox?

Claude Mythos від Anthropic виявив 271 вразливість у браузері Mozilla Firefox у квітні, що демонструє зростаючу роль штучного інтелекту у дослідженні вразливостей.

Які ролі виконують агенти штучного інтелекту у тестуванні безпеки Ethereum?

Ethereum Foundation організувала агентів у спеціалізовані ролі, зокрема розвідку, пошук цілей, заповнення прогалин і верифікацію. Деякі агенти шукають шляхи атаки, інші відтворюють збої і перевіряють експлойти у виробничому коді.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів