Фонд Ethereum: ИИ-агенты обнаружили ошибку с уязвимостью CVE-2026-34219 в коде libp2p

ETH2,80%

Фонд Ethereum развернул ИИ-агентов для аудита своей кодовой базы и обнаружил CVE-2026-34219 — удалённо-триггеруемую уязвимость в сетевом слое gossipsub библиотеки libp2p, говорится в блоге, опубликованном 9 июля Никосом Баксеванисом из команды протокольной безопасности фонда. Тестирование показало, что один агент сгенерировал примерно 1 000 кандидатов на выявление, при этом 86% рекомендаций верхнего уровня прошли экспертную проверку. Фонд пришёл к выводу, что основное узкое место в ИИ-ассистированном аудите безопасности — это валидация отчётов, сгенерированных ИИ, а не поиск багов.

Фонд Ethereum выявил критическую уязвимость gossipsub

ИИ-агенты обнаружили удалённо-триггеруемую панику в gossipsub — части слоя peer-to-peer сетевого взаимодействия libp2p, на котором работают клиенты консенсуса Ethereum. Ошибка была исправлена и раскрыта как CVE-2026-34219. Фонд отметил, что если бы атакующий нашёл эту уязвимость первым, её можно было бы использовать для нарушения работы узлов по всей сети.

В блоге под названием «The triage is the product» подробно описано, как большинство отмеченных проблем оказались ложными срабатываниями, хотя среди них были и реальные баги. Фонд зафиксировал повторяющиеся паттерны ложных тревог, включая падения, происходящие только в debug-сборках и никогда — в продакшене; воспроизводители, зависящие от недостижимых внутренних значений, которые не мог бы предоставить ни один атакующий; и доказательства формальной верификации, которые технически верны, но настолько неограничены, что не доказывают ничего по существу.

Фонд определил триаж как ключевое узкое место

Фонд заявил, что неожиданность была не в том, что ИИ-агенты способны находить баги, а в том, «сколько мало работы уходит на то, чтобы найти их, и сколько — на то, чтобы отделить реальные баги от тех, что просто выглядят правдоподобно». Команда внедрила жёсткий стандарт доказательности, кратко сформулированный как «воспроизводимо — значит произошло». Теперь каждый кандидат на выявление должен поставляться с самодостаточным артефактом, который воспроизводит сбой на реальном коде, независимо от того, насколько уверенно агент, подготовивший отчёт, заявляет о своём результате.

Фонд описал агентов как генераторов гипотез, организованных по стадиям recon (разведка), hunting (поиск), gap-filling (заполнение пробелов) и validation (валидация), при этом финальное слово остаётся за людьми. Нагрузка не исчезла — она просто переместилась дальше, в триаж, где опытные инженеры отделяют сигнал от симуляции.

ИИ-агенты добиваются 86% уровня валидации в тестировании

В блоге приведены бенчмарки по текущему поколению инструментов. Агент для property-based testing сгенерировал примерно 1 000 кандидатов на выявление. После экспертной проверки примерно 86% рекомендаций верхнего уровня прошли тщательный разбор. Фонд отметил, что для машины это хороший показатель, но всё равно требуется человеческий фильтр, прежде чем что-либо попадёт в продакшн.

Инструменты находят реальные уязвимости в критической инфраструктуре, опровергая тезис о том, что отчёты об ошибках от ИИ — это просто шум. Для сети, защищающей ценность в сотни миллиардов долларов, человеческий фильтр валидации остаётся необходимым.

Программа поддержки экосистемы финансирует гранты по ИИ-безопасности

Фонд рассматривает эту работу как непрерывную инициативу, а не как разовый эксперимент. Его Ecosystem Support Program финансирует отдельный раунд грантов на протокольную безопасность с использованием ИИ, включая исследования, аудиты и обнаружение уязвимостей.

FAQ

Какую уязвимость обнаружили ИИ-агенты Ethereum Foundation?
ИИ-агенты обнаружили CVE-2026-34219 — удалённо-триггеруемую уязвимость в сетевом слое gossipsub libp2p, который используют клиенты консенсуса Ethereum. Ошибка была исправлена и раскрыта после обнаружения.

Сколько кандидатов на выявление сгенерировали ИИ-агенты?
Один агент для property-based testing сгенерировал примерно 1 000 кандидатов на выявление, при этом около 86% рекомендаций верхнего уровня прошли экспертную проверку командой безопасности фонда.

К какому выводу пришёл Ethereum Foundation по поводу ИИ-ассистированного аудита безопасности?
Фонд пришёл к выводу, что триаж и валидация отчётов, сгенерированных ИИ, а не собственно обнаружение багов, представляет собой главное узкое место по нагрузке в ИИ-ассистированном аудите безопасности.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев