Агенти ШІ від Ethereum Foundation виявили баг із CVE-2026-34219 у коді libp2p

ETH2,80%

Фонд Ethereum розгорнув AI-агентів для аудиту своєї кодової бази та виявив CVE-2026-34219 — віддалено ініційований баг у мережевому шарі gossipsub у libp2p, повідомляється в дописі в блозі, опублікованому 9 липня Ніком Баксаванісом із протокольної групи безпеки фонду. Тестування показало, що один агент згенерував приблизно 1 000 кандидатських знахідок, а 86% топових рекомендацій пройшли експертну перевірку. Фонд дійшов висновку, що основним вузьким місцем у безпековому аудиті з підтримкою AI є не виявлення багів, а валідація звітів, створених AI.

Фонд Ethereum виявляє критичну вразливість gossipsub

AI-агенти виявили віддалено ініційовану паніку в gossipsub — частині мережевого шару libp2p peer-to-peer, на якому працюють клієнти консенсусу Ethereum. Порок було виправлено й розкрито як CVE-2026-34219. Фонд зазначив, що якби зловмисник виявив цю вразливість першим, її можна було б використати для порушення роботи вузлів у всій мережі.

Допис у блозі під назвою «The triage is the product» детально пояснив, як більшість позначених проблем зрештою виявилися хибними спрацьовуваннями, попри те, що серед них були й реальні баги. Фонд задокументував повторювані патерни хибних тривог, зокрема краші, які трапляються лише в debug-збірках і ніколи в production, відтворювачі, що покладаються на недосяжні внутрішні значення, які не міг надати жоден атакувальник, а також докази формальної верифікації, які технічно правильні, але настільки недостатньо обмежені, що не показують нічого.

Фонд визначає triage як основне вузьке місце

Фонд заявив, що несподіванкою було не те, що AI-агенти здатні знаходити баги, а те, «скільки мало роботи було вкладено у їхнє виявлення і скільки — у відокремлення справжніх багів від тих, що лише виглядали правдоподібно». Команда запровадила жорсткий доказовий стандарт, який підсумували як «відтворювано, або цього не було». Тепер кожна кандидатська знахідка має поставлятися разом із самодостатнім артефактом, який відтворює збій на фактичному коді, незалежно від того, наскільки агент, що формує звіт, стверджує свою впевненість.

Фонд описав агентів як генераторів гіпотез, організованих у стадії recon, hunting, gap-filling і validation, причому люди ухвалюють фінальне рішення. Навантаження не зникло — воно просто перемістилося вниз по процесу до triage, де досвідчені інженери відокремлюють сигнал від симуляції.

AI-агенти досягають 86% рівня валідації під час тестування

Допис у блозі надав бенчмаркові дані для продуктивності інструментів поточного покоління. Агент, що використовує тестування на основі властивостей, згенерував приблизно 1 000 кандидатських знахідок. Після експертної перевірки приблизно 86% його топових рекомендацій пройшли прискіпливу оцінку. Фонд зазначив, що такий рівень є сильним для машини, але все одно вимагає людського фільтра, перш ніж будь-що потрапить у production-код.

Інструменти знаходять реальні вразливості в критичній інфраструктурі, спростовуючи відмахування від AI-згенерованих звітів про баги як чистого шуму. Для мережі, що захищає цінність на суму сотень мільярдів доларів, людський фільтр валідації лишається критично необхідним.

Програма підтримки екосистеми фінансує AI-гранти з безпеки

Фонд ставиться до цієї роботи як до триваючої ініціативи, а не до разового експерименту. Його Програма підтримки екосистеми фінансує окремий раунд грантів для протокольної безпеки на базі AI, охоплюючи дослідження, аудит і виявлення вразливостей.

FAQ

Яку вразливість виявили AI-агенти Ethereum Foundation?
AI-агенти виявили CVE-2026-34219 — віддалено ініційований баг у мережевому шарі gossipsub libp2p, який використовують клієнти консенсусу Ethereum. Дефект було виправлено та розкрито після виявлення.

Скільки кандидатських знахідок згенерували AI-агенти?
Один агент із тестування на основі властивостей згенерував приблизно 1 000 кандидатських знахідок, а близько 86% топових рекомендацій пройшли експертну перевірку командою безпеки фонду.

До чого дійшов Ethereum Foundation щодо безпекового аудиту з підтримкою AI?
Фонд дійшов висновку, що triage та валідація звітів, згенерованих AI, а не саме виявлення багів, становлять основне вузьке місце в безпековому аудиті з підтримкою AI.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів