Agentes de IA da Ethereum Foundation descobrem uma vulnerabilidade CVE-2026-34219 no código da libp2p

ETH2,80%

A Ethereum Foundation colocou agentes de IA para auditar a sua base de código e descobriu a CVE-2026-34219, um bug acionável remotamente na camada de rede gossipsub do libp2p, de acordo com uma publicação no blogue divulgada a 9 de julho por Nikos Baxevanis, da equipa de segurança de protocolos da fundação. Os testes revelaram que um agente gerou aproximadamente 1.000 conclusões candidatas, com 86% das recomendações de topo a sobreviverem à revisão de especialistas. A fundação concluiu que validar relatórios gerados por IA, em vez de descobrir bugs, representa o principal gargalo de carga de trabalho na auditoria de segurança assistida por IA.

Ethereum Foundation Descobre Vulnerabilidade Crítica no Gossipsub

Os agentes de IA identificaram um bug acionável remotamente no gossipsub, parte da camada de rede ponto-a-ponto do libp2p, na qual operam os clientes de consenso da Ethereum. A falha foi corrigida e divulgada como CVE-2026-34219. A fundação referiu que, se um atacante tivesse descoberto esta vulnerabilidade primeiro, poderia tê-la explorado para perturbar nós em toda a rede.

A publicação no blogue, intitulada “The triage is the product”, detalhou como a maioria dos problemas sinalizados acabou por ser falsos positivos, apesar de conter bugs reais no meio. A fundação catalogou padrões recorrentes de alarmes falsos, incluindo falhas que só ocorrem em versões de depuração e nunca em produção, reprodutores que dependem de valores internos inalcançáveis que nenhum atacante poderia fornecer, e provas de verificação formal que são tecnicamente verdadeiras, mas tão pouco constrangedoras que não demonstram nada.

A Fundação Identifica Triagem como Principal Gargalo

A fundação afirmou que a surpresa não era que os agentes de IA conseguissem encontrar bugs, mas sim “quão pouco do trabalho foi feito para os encontrar, e quanto para distinguir os bugs reais daqueles que apenas pareciam reais”. A equipa implementou um critério probatório exigente, resumido como “reproduzível ou não aconteceu”. Todas as conclusões candidatas são agora obrigadas a ser acompanhadas por um artefacto auto-suficiente que reproduz a falha no código real, independentemente do grau de confiança com que o agente que reporta afirma estar.

A fundação descreveu os agentes como geradores de hipóteses organizados em fases de reconhecimento, caça a falhas, preenchimento de lacunas e validação, com humanos a tomarem a decisão final. A carga de trabalho não desapareceu, mas apenas se deslocou para jusante na triagem, onde engenheiros experientes separam o sinal da simulação.

Agentes de IA Atingem Taxa de Validação de 86% nos Testes

A publicação no blogue forneceu dados de referência para o desempenho das ferramentas da geração atual. Um agente de testes baseado em propriedades gerou aproximadamente 1.000 conclusões candidatas. Após revisão de especialistas, cerca de 86% das suas recomendações de topo sobreviveram ao escrutínio. A fundação referiu que esta taxa é forte para uma máquina, mas ainda exige um filtro humano antes de qualquer coisa tocar código de produção.

As ferramentas estão a encontrar vulnerabilidades reais em infraestruturas críticas, desmentindo a desvalorização de que os relatórios de bugs gerados por IA são ruído puro. Para uma rede que assegura centenas de mil milhões de dólares em valor, o filtro de validação humana continua essencial.

Programa de Apoio ao Ecossistema Financia Bolsas de Segurança com IA

A fundação está a tratar este trabalho como uma iniciativa contínua, e não como uma experiência única. O seu Programa de Apoio ao Ecossistema está a financiar uma ronda de bolsas dedicada à segurança de protocolos com IA, cobrindo investigação, auditoria e deteção de vulnerabilidades.

FAQ

Que vulnerabilidade descobriram os agentes de IA da Ethereum Foundation?
Os agentes de IA descobriram a CVE-2026-34219, um bug acionável remotamente na camada de rede gossipsub do libp2p utilizada por clientes de consenso da Ethereum. A falha foi corrigida e divulgada após a descoberta.

Quantas conclusões candidatas geraram os agentes de IA?
Um agente de testes baseado em propriedades gerou aproximadamente 1.000 conclusões candidatas, com cerca de 86% das recomendações de topo a sobreviverem à revisão de especialistas da equipa de segurança da fundação.

O que concluiu a Ethereum Foundation sobre auditoria de segurança assistida por IA?
A fundação concluiu que a triagem e a validação de relatórios gerados por IA, em vez da própria descoberta de bugs, representam o principal gargalo de carga de trabalho na auditoria de segurança assistida por IA.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário