Фонд Ethereum использует ИИ-агентов для обнаружения уязвимостей сети

ETH0,44%
ZEC4,86%

Команда по безопасности Ethereum Foundation развернула AI-агентов для тестирования критической инфраструктуры сети, о чём сообщила в блоге в четверг. Агентам удалось обнаружить несколько уязвимостей, включая удалённо вызываемый панический сбой в libp2p gossipsub, раскрытый как CVE-2026-34219 на Github. Тестирование безопасности с помощью ИИ отражает внедрение практик красных команд, при которых организации атакуют собственные системы, чтобы выявить слабые места до того, как ими воспользуются злоумышленники.

Ethereum Foundation развернула специализированные роли AI-агентов

Ethereum Foundation организовала AI-агентов по специализированным ролям, включая разведку, охоту, устранение пробелов и проверку. Некоторые агенты ищут возможные пути атаки, другие пытаются воспроизвести сбои и проверить их работу на рабочем коде. Агентам поручили тестировать системное программное обеспечение, криптографический код и смарт-контракты, от которых зависит сеть Ethereum.

Исследователи отметили, что обнаружение ошибок агентами не стало сюрпризом, но распределение работы — да. «Удивительно было, насколько мало работы ушло на их обнаружение и сколько — на различие настоящих ошибок от тех, что казались реальными», — заявила команда в блоге.

AI-агенты обнаружили уязвимость libp2p CVE-2026-34219

Одна из уязвимостей, обнаруженных AI-агентами, — удалённо вызываемый панический сбой в libp2p gossipsub, части слоя peer-to-peer, используемого клиентами Ethereum для консенсуса. Ethereum Foundation исправила проблему и раскрыла её на Github как CVE-2026-34219.

Фонд сравнил AI-агентов с фуззерами — инструментами для тестирования программного обеспечения на наличие ошибок. В отличие от фуззеров, AI-агенты могут генерировать отчёты об уязвимостях, оценивать их влияние и создавать доказательства концепции. Исследователи установили правило валидации/подтверждения: «Кандидат не считается находкой, пока не появится автономный артефакт, воспроизводящий сбой в реальном коде и работающий для человека, не писавшего его».

Модели Anthropic's Claude выявляют уязвимости Firefox и Zcash

Claude Mythos от Anthropic обнаружил 271 уязвимость в браузере Mozilla Firefox в апреле. Исследователь безопасности Тейлор Хорби использовал Claude Opus 4.8 в мае при AI-поддерживаемом аудите, в ходе которого выявил критическую уязвимость в приватном пуле Zcash Orchard.

Уязвимость в Zcash существовала около четырёх лет и могла позволить злоумышленнику создавать поддельные ZEC без очевидной цепочки на блокчейне. Ведутся работы по обновлению сети для восстановления доверия к запасам Zcash, сообщает источник.

Человеческие исследователи подтверждают результаты AI в области безопасности

Результаты, сгенерированные AI, могут казаться убедительными, даже если они неверны, поэтому исследователи вынуждены фильтровать дубли, ложные срабатывания и уязвимости, которые на практике невозможно использовать. Исследователи Ethereum Foundation отметили, что подробные выводы не всегда означают правильные выводы.

«AI не заменил исследователя безопасности. Он переместил работу», — заявили в Ethereum Foundation. «Агенты позволяют охватить гораздо больше, чем мы могли бы вручную. В обмен они требуют более аккуратного суждения, учитывая гораздо больше уверенных заявлений». Команда добавила, что именно суждение — это настоящий продукт процесса безопасности с помощью ИИ.

FAQ

Какую уязвимость обнаружили AI-агенты Ethereum Foundation в libp2p?

AI-агенты обнаружили удалённо вызываемый панический сбой в libp2p gossipsub, части слоя peer-to-peer, используемого клиентами Ethereum для консенсуса. Ethereum Foundation исправила проблему и раскрыла её на Github как CVE-2026-34219.

Сколько уязвимостей обнаружил Claude Mythos от Anthropic в Firefox?

Claude Mythos обнаружил 271 уязвимость в браузере Mozilla Firefox в апреле, демонстрируя растущую роль ИИ в исследовании уязвимостей.

Какие роли выполняют AI-агенты в тестировании безопасности Ethereum?

Ethereum Foundation организовала AI-агентов по ролям: разведка, охота, устранение пробелов и проверка. Некоторые ищут пути атаки, другие воспроизводят сбои и проверяют эксплойты на рабочем коде.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев