عملاء AI التابعون لمؤسسة Ethereum يكشفون عن ثغرة CVE-2026-34219 في كود libp2p

ETH%2.80

قامت مؤسسة Ethereum بنشر وكلاء ذكاء اصطناعي لتدقيق قاعدة كودها واكتشفت CVE-2026-34219، وهي ثغرة يمكن تشغيلها عن بُعد في طبقة gossipsub ضمن شبكة libp2p، وذلك بحسب منشور مدونة نُشر في 9 يوليو من قِبل Nikos Baxevanis من فريق أمن البروتوكولات بالمؤسسة. كشفت الاختبارات أن أحد الوكلاء ولّد ما يقارب 1,000 تقرير مرشّح، مع استمرار 86% من أبرز التوصيات بعد المراجعة الخبيرة. خلصت المؤسسة إلى أن التحقق من التقارير التي ينتجها الذكاء الاصطناعي، بدلًا من اكتشاف الأخطاء نفسها، يمثل الاختناق الأساسي في سير العمل عند تدقيق الأمن المسانَد بالذكاء الاصطناعي.

مؤسسة Ethereum تكتشف ثغرة حرجة في gossipsub

أبرزت وكلاء الذكاء الاصطناعي حالة هلع يمكن تشغيلها عن بُعد داخل gossipsub، وهو جزء من طبقة شبكة نظير إلى نظير libp2p التي تعمل عليها عملاء إجماع Ethereum. تم إصلاح العيب والكشف عنه بوصفه CVE-2026-34219. لاحظت المؤسسة أنه لو كان مهاجم قد اكتشف هذه الثغرة أولاً، لكان يمكن استخدامها لتعطيل العقد عبر الشبكة.

استعرض منشور المدونة، المعنون "The triage is the product"، كيف أن غالبية القضايا التي تم الإبلاغ عنها اتضح أنها إنذارات زائفة رغم احتوائها على أخطاء حقيقية ضمن الخليط. وثّقت المؤسسة أنماطًا متكررة من الإنذارات الزائفة، بما في ذلك تعطل يحدث فقط في إصدارات التصحيح ولا يحدث في الإنتاج، وقابلين لإعادة الإنتاج يعتمدون على قيم داخلية غير قابلة للوصول لا يمكن لأي مهاجم توفيرها، وبراهين تحقق رسمي صحيحة من الناحية التقنية لكنها غير مقيدة لدرجة أنها لا تُظهر شيئًا.

المؤسسة تحدد التصنيف كاختناق أساسي

ذكرت المؤسسة أن المفاجأة لم تكن في أن وكلاء الذكاء الاصطناعي يستطيعون العثور على أخطاء، بل في "مدى ضآلة العمل المبذول في العثور عليها، وكمية العمل المبذولة في التمييز بين الأخطاء الحقيقية وبين تلك التي تبدو حقيقية فقط". نفّذ الفريق معيارًا صارمًا للأدلة اختصره بوصفه "قابل لإعادة الإنتاج وإلا لم يحدث". أصبحت كل نتيجة مرشحة الآن مطالَبة بأن تُرفق بقطعة أثرية ذاتية الاكتمال تُعيد إنتاج العطل مقابل الكود الفعلي، بغض النظر عن مدى ثقة وكيل الإبلاغ.

وصفت المؤسسة الوكلاء بوصفهم مولدات للفرضيات منظّمة إلى مراحل الاستطلاع (recon) والصيد (hunting) وملء الفجوات (gap-filling) والتحقق (validation)، بينما يتخذ البشر القرار النهائي. لم تختفِ كمية العمل، بل تحركت فحسب إلى ما بعد ذلك في مرحلة التَّصنيف (triage)، حيث يفصل مهندسون ذوو خبرة بين الإشارة والمحاكاة.

وكلاء الذكاء الاصطناعي يحققون معدل تحقق 86% في الاختبارات

قدّم منشور المدونة بيانات مرجعية لأداء الأدوات في الجيل الحالي. ولّد وكيل لاختبار قائم على الخصائص نحو 1,000 نتيجة مرشحة. وبعد المراجعة الخبيرة، نجا نحو 86% من توصياته الأعلى مستوى من التدقيق. أشارت المؤسسة إلى أن هذه النسبة قوية بالنسبة لآلة، لكنها لا تزال تتطلب فلتراً بشريًا قبل أن يطال أي شيء كود الإنتاج.

تُظهر الأدوات أنها تعثر على ثغرات حقيقية في بنية تحتية حرجة، مما يُضعف التبرير القائل بأن تقارير الأخطاء الناتجة عن الذكاء الاصطناعي مجرد ضجيج. وبالنسبة لشبكة تُؤمّن قيمة تصل إلى مئات المليارات من الدولارات، يبقى الفلتر البشري للتحقق ضروريًا.

برنامج دعم منظومة التمويل يمنح منحًا لأمن الذكاء الاصطناعي

تتعامل المؤسسة مع هذا العمل بوصفه مبادرة مستمرة، لا مجرد تجربة لمرة واحدة. يموّل برنامج Ecosystem Support Program جولة منح مخصصة لأمن البروتوكولات المدعوم بالذكاء الاصطناعي، تشمل البحث والتدقيق وكشف الثغرات.

الأسئلة الشائعة

ما الثغرة التي اكتشفتها وكلاء ذكاء اصطناعي في مؤسسة Ethereum؟
اكتشفت وكلاء الذكاء الاصطناعي CVE-2026-34219، وهي ثغرة يمكن تشغيلها عن بُعد في طبقة gossipsub ضمن libp2p المستخدمة من قِبل عملاء إجماع Ethereum. تم إصلاح العيب والكشف عنه بعد اكتشافه.

كم عدد نتائج المرشحين التي ولّدتها وكلاء الذكاء الاصطناعي؟
ولّد وكيل اختبار قائم على الخصائص ما يقارب 1,000 نتيجة مرشحة، مع بقاء حوالي 86% من توصياته الأعلى مستوى بعد المراجعة الخبيرة من فريق أمن المؤسسة.

ماذا خلصت إليه مؤسسة Ethereum بخصوص تدقيق الأمن المسانَد بالذكاء الاصطناعي؟
خلصت المؤسسة إلى أن التصنيف والتحقق من التقارير الناتجة عن الذكاء الاصطناعي، وليس اكتشاف الأخطاء بحد ذاته، يمثل الاختناق الأساسي في سير العمل عند تدقيق الأمن المسانَد بالذكاء الاصطناعي.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات