Фонд Ethereum заявляет, что ИИ-агенты находят реальные ошибки протокола, при этом проверка человеком остается критически важной
| |автоматический переводСмотрите исходную статью- Фонд Ethereum заявил, что AI-агенты помогают выявлять уязвимости протокола, но каждое обнаружение требует тщательной проверки человеком перед принятием.
- Для подтверждения уязвимостей и исключения ложных срабатываний, возникающих в ходе анализа AI, требуются воспроизводимые proof-of-concept эксплойты.
- EF добавил, что AI сместил исследования безопасности с поиска багов на проверку того, какие из заявленных уязвимостей являются реальными и заслуживают раскрытия.
Фонд Ethereum (EF) заявил в четверг, что искусственный интеллект (AI) становится все более эффективным инструментом для выявления уязвимостей в программном обеспечении протокола Ethereum.
Фонд Ethereum использует AI для выявления уязвимостей протокола
Команда Protocol Security Фонда в публикации в блоге подробно рассказала, как она использует скоординированных AI-агентов для аудита критически важной инфраструктуры Ethereum, включая системное ПО, криптографический код и смарт-контракты.
Одним из примеров является удаленно вызываемый panic в сетевом протоколе Gossipsub libp2p, ключевом компоненте, используемом клиентами консенсуса Ethereum. С тех пор проблема была исправлена и публично раскрыта как CVE-2026-34219, а заслуга была отдана команде Protocol Security.
Однако Фонд отметил, что обнаружение багов не стало самым большим шоком.
"Удивительным было то, как мало работы ушло на их поиск и как много — на то, чтобы отличить реальные баги от тех, которые лишь выглядели реальными," — написал EF.
Фонд сравнил AI-агентов с инструментами fuzzing. В то время как традиционные fuzzers обычно генерируют сбои и stack traces, AI-агенты выдают гораздо более подробные результаты, включая отчеты об уязвимостях, потенциальные пути эксплуатации, оценки серьезности и код proof-of-concept.
Несмотря на это, организация предупредила, что число уязвимостей, сгенерированных AI, не следует считать мерой успеха.
"Так что не считайте, сколько кандидатов выдает агент. Считайте, сколько из них оказываются реальными," — написал Фонд.
Чтобы повысить надежность, команда Protocol Security одновременно запускает несколько AI-агентов против одной и той же кодовой базы, назначая им специализированные задачи, такие как разведка, поиск уязвимостей, валидация и анализ покрытия.
Вместо того чтобы полагаться на центрального координатора, агенты взаимодействуют через общие репозитории и систему контроля версий, позволяя каждому опираться на работу других и при этом независимо проверять результаты.
Фонд заявил, что ни одна проблема безопасности не считается подтвержденной, если ее нельзя воспроизвести с помощью автономного proof of concept, работающего против реального production-кода, а не в искусственной тестовой среде.
В блоге были выделены несколько распространенных источников ложных срабатываний. К ним относятся сбои, возникающие только в debug-сборках, proof-of-concept эксплойты, основанные на невозможных путях выполнения, и формальные доказательства верификации, которые технически проходят проверку, но не подтверждают предполагаемое свойство безопасности.
Фонд Ethereum отметил, что большинство результатов, сгенерированных AI, в конечном итоге оказываются неверными, дубликатами или выходят за рамки предполагаемого объема аудита. Каждый оставшийся кандидат проходит независимую проверку, чтобы определить, можно ли его реально эксплуатировать и оправдывает ли потенциальный ущерб дальнейшее расследование или раскрытие.
Хотя AI позволяет исследователям изучать гораздо больше кода, чем при одних лишь ручных проверках, EF подчеркнул, что решающим фактором в определении того, какие результаты являются подлинными и какие в конечном итоге должны быть использованы, остается человеческий контроль.
Информация на этих страницах содержит прогнозы, связанные с рисками и неопределенностью. Рынки и инструменты, представленные на этой странице, предназначены только для информационных целей и никоим образом не должны рассматриваться как рекомендация покупать или продавать эти активы. Вы должны провести собственное тщательное исследование, прежде чем принимать какие-либо инвестиционные решения. FXStreet никоим образом не гарантирует, что эта информация не содержит ошибок или существенных искажений. Компания также не гарантирует, что эта информация носит своевременный характер. Инвестирование на открытых рынках сопряжено с большим риском, включая потерю всех вложенных средств или их части, а также с негативными эмоциональными переживаниями. Все риски, убытки и затраты, связанные с инвестированием, включая полную потерю вложенных средств, являются вашей ответственностью. Взгляды и мнения, выраженные в данной статье, принадлежат авторам и не обязательно отражают официальную политику или позицию FXStreet или ее рекламодателей.