Quỹ Ethereum đã triển khai các tác nhân AI để kiểm toán kho mã của mình và phát hiện CVE-2026-34219, một lỗi có thể kích hoạt từ xa trong lớp mạng gossipsub của libp2p, theo bài blog được Nikos Baxevanis thuộc nhóm bảo mật giao thức của quỹ Ethereum đăng ngày 9 tháng 7. Quá trình thử nghiệm cho thấy một tác nhân đã tạo ra khoảng 1.000 phát hiện ứng viên, với 86% khuyến nghị thuộc nhóm cao nhất được chuyên gia rà soát và vẫn giữ nguyên. Quỹ kết luận rằng việc xác thực các báo cáo do AI sinh ra, thay vì việc tìm ra lỗi, mới là nút thắt tải công việc chính trong kiểm toán bảo mật có hỗ trợ AI.
Các tác nhân AI đã phát hiện một hiện tượng hoảng loạn có thể kích hoạt từ xa trong gossipsub, là một phần của lớp mạng ngang hàng libp2p mà các client đồng thuận Ethereum vận hành. Lỗi đã được khắc phục và công bố dưới mã CVE-2026-34219. Quỹ lưu ý rằng nếu một kẻ tấn công phát hiện lỗ hổng này trước, có thể họ đã dùng nó để làm gián đoạn các node trên toàn mạng.
Bài blog, có tựa đề "The triage is the product" (việc phân loại chính là sản phẩm), mô tả cách phần lớn các vấn đề được gắn cờ hóa ra là dương tính giả dù vẫn lẫn trong đó các lỗi thật. Quỹ đã lập danh mục các mẫu báo động sai lặp lại, bao gồm các tình huống sụp đổ chỉ xảy ra ở bản build gỡ lỗi và không bao giờ xảy ra ở môi trường sản xuất, các bộ tái hiện dựa vào các giá trị nội bộ không ai có thể cung cấp từ phía kẻ tấn công, và các chứng minh xác minh hình thức đúng về mặt kỹ thuật nhưng quá khó ràng buộc đến mức không thể chứng minh được gì.
Quỹ cho biết bất ngờ không nằm ở việc các tác nhân AI có thể tìm ra lỗi, mà là "phần công việc dành cho việc tìm chúng ít đến mức nào, và phần công việc dành cho việc phân tách các lỗi thật với những thứ chỉ trông có vẻ thật nhiều đến mức nào." Nhóm đã triển khai một chuẩn mực bằng chứng chặt chẽ, được tóm tắt là "có thể tái hiện thì mới được tính." Mỗi phát hiện ứng viên hiện được yêu cầu phải đi kèm một hiện vật tự chứa có thể tái hiện thất bại trên đúng đoạn mã thực tế, độc lập với mức độ tự tin mà tác nhân tạo báo cáo tuyên bố.
Quỹ mô tả các tác nhân như những bộ tạo giả thuyết được tổ chức theo các giai đoạn trinh sát (recon), săn tìm (hunting), bổ sung khoảng trống (gap-filling) và xác thực (validation), với con người là người đưa ra quyết định cuối cùng. Khối lượng công việc chưa biến mất mà chỉ chuyển xuống bước phân loại, nơi các kỹ sư giàu kinh nghiệm tách tín hiệu khỏi mô phỏng.
Bài blog cung cấp dữ liệu benchmark về hiệu năng của các công cụ thế hệ hiện tại. Một tác nhân kiểm thử dựa trên thuộc tính (property-based) tạo ra xấp xỉ 1.000 phát hiện ứng viên. Sau khi chuyên gia rà soát, khoảng 86% khuyến nghị thuộc nhóm cao nhất của nó vượt qua được sự kiểm tra nghiêm ngặt. Quỹ lưu ý rằng tỷ lệ này là tốt đối với máy móc, nhưng vẫn cần một bộ lọc con người trước khi bất kỳ thứ gì chạm vào mã triển khai sản xuất.
Các công cụ đang tìm ra các lỗ hổng thật trong hạ tầng quan trọng, qua đó làm suy yếu lập luận rằng các báo cáo lỗi do AI sinh ra chỉ là nhiễu thuần túy. Với một mạng dùng để bảo vệ giá trị lên tới hàng trăm tỷ USD, bộ lọc xác thực của con người vẫn là yếu tố thiết yếu.
Quỹ đang coi công việc này là một sáng kiến liên tục, chứ không phải một thí nghiệm diễn ra một lần. Chương Trình Hỗ Trợ Hệ Sinh Thái của quỹ đang tài trợ một đợt cấp kinh phí riêng cho bảo mật giao thức do AI hỗ trợ, bao gồm nghiên cứu, kiểm toán và phát hiện lỗ hổng.
Các tác nhân AI của Quỹ Ethereum đã phát hiện lỗ hổng nào?
Các tác nhân AI phát hiện CVE-2026-34219, một lỗi có thể kích hoạt từ xa trong lớp mạng gossipsub của libp2p được các client đồng thuận Ethereum sử dụng. Lỗi đã được khắc phục và công bố sau khi phát hiện.
Các tác nhân AI đã tạo ra bao nhiêu phát hiện ứng viên?
Một tác nhân kiểm thử dựa trên thuộc tính đã tạo ra khoảng 1.000 phát hiện ứng viên, với khoảng 86% khuyến nghị thuộc nhóm cao nhất của nó vượt qua được sự kiểm tra nghiêm ngặt. Quỹ lưu ý rằng tỷ lệ này là tốt đối với máy móc, nhưng vẫn cần một bộ lọc con người trước khi bất kỳ thứ gì chạm vào mã triển khai sản xuất.
Quỹ Ethereum đã kết luận gì về kiểm toán bảo mật có hỗ trợ AI?
Quỹ kết luận rằng việc phân loại và xác thực các báo cáo do AI sinh ra, thay vì bản thân việc phát hiện lỗi, mới là nút thắt tải công việc chính trong kiểm toán bảo mật có hỗ trợ AI.
Tin tức liên quan
Nghiên cứu của Cambridge: 31% các node Ethereum nằm ở Mỹ, một phần ba trong số đó ngoại tuyến khiến quá trình xác nhận bị trì hoãn
NEC hợp tác với Ava Labs trong nền tảng xác thực danh tính bằng blockchain dành cho du khách tại Nhật Bản
Quỹ của Ethereum Foundation hỗ trợ đội ngũ giải thể, cơ chế phối hợp EIP đối mặt với khoảng trống