AI-агент Ethereum Foundation обнаружил баг в коде протокола во время тестирования

By: rootdata|2026/07/13 04:00:29
0
Поделиться
copy
Оценить в GoogleОценить в Google

AI-агент Ethereum Foundation (искусственный интеллект) на самом деле обнаружил баг в коде протокола во время тестирования.

В блокчейне Ethereum (ETH), в котором заблокированы активы самого большого масштаба, продолжаются попытки повысить надежность сети. Команда по безопасности протокола Ethereum Foundation недавно провела эксперимент, внедрив "AI-агента" в тестирование безопасности основного программного обеспечения. Эта инициатива привлекла внимание как новый подход к обеспечению безопасности системы, но также выявила уникальную проблему, связанную с нагрузкой на человеческих рецензентов.

Серьезный баг, обнаруженный кооперативным ИИ

В этом тесте использовался метод, при котором несколько AI-агентов выполнялись параллельно и каждому назначалась своя роль. Эта структура была вдохновлена исследованием американской AI-компании Anthropic о "создании компилятора C с использованием кооперативной группы агентов".

В частности, AI был разделен на четыре роли для совместной проверки:

Разведывательный агент: формулирует конкретные проверяемые гипотезы о целях атаки
Агент атаки: отслеживает код и пытается построить шаги воспроизведения
Агент дополнения пробелов: фиксирует прогресс и генерирует следующую группу гипотез
Агент проверки: независимо перепроверяет, исключает дублирование и оценивает эффективность

В результате этого всестороннего исследования AI-агенту удалось обнаружить серьезную уязвимость в слое "gossipsub" библиотеки P2P (peer-to-peer) "libp2p", используемой валидаторами Ethereum для связи.

Этот баг может вызвать сбой системы узла удаленно, и в случае злоупотребления существует риск, что валидаторы выйдут в оффлайн и потеряют вознаграждение. Этот дефект был немедленно исправлен и опубликован как "CVE-2026-34219", что позволило избежать технической опасности.

Массовое появление "убедительных ложных срабатываний"

Хотя команда по безопасности протокола достигла успеха в обнаружении бага, она столкнулась с большой проблемой. Это обработка огромного количества "ложных срабатываний (шума)" , генерируемых AI-агентами.

Традиционные инструменты тестирования (такие как Fuzzer) выводят данные в случае сбоя системы, что позволяет человеку интуитивно проверять баги. Однако AI-агенты могут создавать "правдоподобные отчеты" с полными структурами, включая сценарии атак, оценки серьезности и код для доказательства. Поэтому инженерам приходится тратить огромное количество времени и усилий на различение "ложных багов, которые на первый взгляд выглядят настоящими".

По анализу команды, ложные срабатывания, генерируемые AI, имеют три предсказуемых паттерна:

Тестирование, отличное от рабочей среды: сбои, возникающие только в отладочной сборке с активной проверкой безопасности компилятора, не влияющие на реальных пользователей
Недоступные пути атаки: код воспроизведения, в который вручную вставляются внутренние значения, которые фактически не могут быть управляемы злоумышленником, так как все входные пути отклоняются извне
Пустое доказательство формальной проверки: хотя это и является доказательством того, что программное обеспечение работает правильно, это не ограничивает фактическое поведение объекта

Текущее состояние AI в безопасности Web3

Никос Баксевас (Nikos Baxevanis) из Ethereum Foundation сообщил: "Меня удивило не само обнаружение бага, а то, сколько усилий было потрачено на сортировку между настоящими и ложными".

Кроме того, AI-агенты хорошо справляются с выводом кода в единичный момент времени, но по-прежнему испытывают трудности с выявлением сложных багов, таких как "выполнение нескольких нормальных шагов в злонамеренном порядке", которые часто встречаются в DeFi (децентрализованных финансах). Урок, который можно извлечь из этого теста, заключается в том, что инструменты безопасности на основе AI могут стать мощными помощниками в ускорении обнаружения багов в инфраструктуре, но для окончательной сортировки (триажа) необходимы высокие человеческие суждения.

Внедрение AI не лишило людей работы, а скорее изменило способ использования времени человека от фазы проверки гипотез к построению инфраструктуры проверки и сортировке информации. Даже в современном мире, где инструменты продолжают развиваться, важность строгого триажа как человеческой дисциплины остается неизменной.

Цена --

--

Отказ от ответственности: Данный контент предоставляется исключительно в целях общего брендинга и предоставления информации и не является финансовой, инвестиционной, юридической или налоговой консультацией. Любые события, вознаграждения, онлайн-мероприятия или связанная с ними информация, упомянутые здесь, не должны рассматриваться как рекомендация, предложение или приглашение к покупке, продаже, торговле или иным операциям с криптоактивами или к использованию каких-либо услуг. Криптовалюты обладают высокой волатильностью и могут привести к убыткам. Услуги WEEX и онлайн-мероприятия могут быть недоступны во всех регионах и регулируются применимыми законами, правилами и требованиями к участию. Вы несете ответственность за обеспечение соответствия использования вами услуг WEEX местным законам и за тщательную оценку рисков перед участием в любой деятельности, связанной с криптовалютами.

Вам также может понравиться

iconiconiconiconiconiconiconiconicon
Служба поддержки:@weikecs
Деловое сотрудничество:@weikecs
Количественная торговля и ММ:bd@weex.com
VIP-программа:support@weex.com