A Ethereum Foundation implantou agentes de IA para auditar sua base de código e descobriu a CVE-2026-34219, um bug acionável remotamente na camada de rede gossipsub do libp2p, segundo uma postagem em blog publicada em 9 de julho por Nikos Baxevanis, da equipe de segurança de protocolos da fundação. O teste revelou que um agente gerou aproximadamente 1.000 achados candidatos, com 86% das recomendações de maior nível sobrevivendo à revisão de especialistas. A fundação concluiu que validar relatórios gerados por IA, em vez de descobrir bugs, representa o principal gargalo de carga de trabalho em auditorias de segurança com assistência de IA.
Os agentes de IA identificaram uma vulnerabilidade acionável remotamente no gossipsub, parte da camada de rede ponto a ponto do libp2p, sobre a qual operam os clientes de consenso do Ethereum. A falha foi corrigida e divulgada como CVE-2026-34219. A fundação observou que, se um atacante tivesse descoberto essa vulnerabilidade primeiro, poderia tê-la explorado para interromper nós em toda a rede.
A postagem do blog, intitulada “The triage is the product”, detalhou como a maioria dos problemas sinalizados acabou sendo falso positivo, apesar de conter bugs reais no meio. A fundação catalogou padrões recorrentes de falsos alarmes, incluindo crashes que só ocorrem em builds de debug e nunca em produção, reproduzidores que dependem de valores internos inalcançáveis que nenhum atacante poderia fornecer, e provas de verificação formal que são tecnicamente verdadeiras, mas tão pouco restritas que não demonstram nada.
A fundação afirmou que a surpresa não era que agentes de IA pudessem encontrar bugs, mas sim “o quanto foi feito para encontrá-los, e quanto foi feito para distinguir os bugs reais daqueles que apenas pareciam reais”. A equipe implementou um padrão rígido de evidência, resumido como “reproduzível ou não aconteceu”. Todo achado candidato agora precisa ser enviado junto com um artefato autocontido que reproduza a falha no código real, independentemente do quão confiante o agente que reportou afirma estar.
A fundação descreveu agentes como geradores de hipóteses organizados em etapas de reconhecimento (recon), caça (hunting), preenchimento de lacunas (gap-filling) e validação, com humanos tomando a decisão final. A carga de trabalho não desapareceu, mas apenas foi deslocada para a triagem, onde engenheiros experientes separam sinal de simulação.
A postagem do blog forneceu dados de referência sobre o desempenho de ferramentas de geração atuais. Um agente de testes baseados em propriedades gerou aproximadamente 1.000 achados candidatos. Após revisão de especialistas, aproximadamente 86% das recomendações de maior nível sobreviveram ao escrutínio. A fundação observou que essa taxa é boa para uma máquina, mas ainda exige um filtro humano antes que qualquer coisa toque código de produção.
As ferramentas estão encontrando vulnerabilidades reais em infraestrutura crítica, derrubando a alegação de que relatórios de bugs gerados por IA são apenas ruído. Para uma rede que protege centenas de bilhões de dólares em valor, o filtro de validação humana continua essencial.
A fundação está tratando esse trabalho como uma iniciativa contínua, e não como um experimento único. Seu Programa de Suporte ao Ecossistema está financiando uma rodada de subsídios dedicada à segurança de protocolos com IA, cobrindo pesquisa, auditorias e detecção de vulnerabilidades.
Que vulnerabilidade os agentes de IA da Ethereum Foundation descobriram?
Os agentes de IA descobriram a CVE-2026-34219, um bug acionável remotamente na camada de rede gossipsub do libp2p usada por clientes de consenso do Ethereum. A falha foi corrigida e divulgada após a descoberta.
Quantos achados candidatos os agentes de IA geraram?
Um agente de testes baseados em propriedades gerou aproximadamente 1.000 achados candidatos, com cerca de 86% das recomendações de maior nível sobrevivendo à revisão de especialistas da equipe de segurança da fundação.
O que a Ethereum Foundation concluiu sobre auditoria de segurança com assistência de IA?
A fundação concluiu que triagem e validação de relatórios gerados por IA, em vez da própria descoberta de bugs, representam o principal gargalo de carga de trabalho em auditorias de segurança com assistência de IA.
Notícias relacionadas
Pesquisa da Universidade de Cambridge: 31% dos nós do Ethereum nos EUA estão offline, o que trava a finalização de blocos
NEC Partners se une à Ava Labs na plataforma de Blockchain Facial ID para visitantes do Japão
O consórcio de suporte da Fundação Ethereum vai encerrar, e o mecanismo de coordenação do EIP enfrenta um vazio