AI-агент Ethereum Foundation виявив помилку в коді протоколу під час тестування

By: rootdata|2026/07/13 04:00:29
0
Поширити
copy
Оцінити в GoogleОцінити в Google

AI-агент Ethereum Foundation виявив помилку в коді протоколу під час тестування, що стало відомо нещодавно.

На блокчейні Ethereum (ETH), де заблоковано найбільшу кількість активів у світі, тривають зусилля щодо підвищення надійності мережі. Команда з безпеки протоколу Ethereum Foundation нещодавно провела експеримент, впровадивши "AI-агента" для тестування безпеки основного програмного забезпечення. Цей підхід привернув увагу як новий спосіб забезпечення безпеки системи, але також виявив специфічні проблеми, пов'язані з навантаженням на людей, які проводять огляди.

Серйозна помилка, виявлена кооперативним AI

У цьому тестуванні було використано метод, при якому кілька AI-агентів працювали паралельно, кожен з яких виконував свою роль. Ця структура була натхненна дослідженням компанії Anthropic про "кооперативні агенти для побудови C-компілера".

Конкретно, AI був розділений на чотири ролі для спільної перевірки:

Розвідувальний агент: формулює конкретні перевіряємi гіпотези для цілей атаки
Агент атаки: намагається відстежити код і побудувати процедуру відтворення
Агент заповнення прогалин: фіксує прогрес і генерує наступні групи гіпотез
Агент перевірки: незалежно повторно перевіряє, усуває дублікати та оцінює дійсність

В результаті цього всебічного дослідження AI-агент зміг виявити серйозну вразливість у "gossipsub"-шарі бібліотеки P2P "libp2p", яку використовують валідатори Ethereum для зв'язку.

Ця помилка могла призвести до віддаленого збої системи вузла, і в разі зловживання існував ризик, що валідатори вийдуть з онлайну та втратять винагороду. Цей дефект був негайно виправлений і опублікований як "CVE-2026-34219", що дозволило уникнути технічної небезпеки.

Масове виникнення "переконливих помилкових виявлень"

Хоча було досягнуто успіху у виявленні помилки, команда з безпеки протоколу зіткнулася з великою проблемою. Це обробка великої кількості "помилкових виявлень (шуму)" , які генерують AI-агенти.

Традиційні інструменти тестування (такі як Fuzzer) виводять дані у разі збою системи, що дозволяє людині інтуїтивно перевіряти помилки. Однак AI-агенти створюють "достовірні звіти" з ідеальною структурою, включаючи сценарії атак, оцінки серйозності та код для демонстрації. Це призводить до того, що інженерам доводиться витрачати величезну кількість часу та зусиль на розрізнення "помилок, які на перший погляд виглядають справжніми".

Згідно з аналізом команди, помилкові виявлення, створені AI, мають три основні передбачувані шаблони:

Тестування, що відрізняється від продуктивного середовища: збої, які виникають лише в дебаг-версіях з активними перевірками безпеки компілятора, не впливають на реальних користувачів
Недоступні шляхи атаки: повторювальний код, в якому внутрішні значення, які фактично не можуть бути керовані зловмисниками, вставляються вручну через зовнішні вхідні шляхи, які всі відхиляються
Порожні докази формальної перевірки: хоча це є доказом того, що програмне забезпечення працює правильно, воно насправді не обмежує поведінку об'єкта

Теперішнє становище AI в безпеці Web3

Нікос Баксевас (Nikos Baxevanis) з Ethereum Foundation повідомив: "Нас здивувало не саме виявлення помилки, а те, скільки зусиль було витрачено на відокремлення справжніх помилок від фальшивих".

Крім того, AI-агенти добре справляються з виведенням коду в один момент, але все ще мають труднощі з виявленням складних помилок, таких як "виконання кількох нормальних кроків у злочинному порядку", що часто трапляється в DeFi (децентралізовані фінанси). Урок, який демонструє цей тест, полягає в тому, що інструменти безпеки AI можуть стати потужними помічниками в прискоренні виявлення помилок в інфраструктурі, але для остаточної тріажу (відбору) необхідно висококваліфіковане людське судження.

Впровадження AI не призвело до втрати робочих місць для людей, а скоріше "змістило використання часу людини від етапу перевірки гіпотез до побудови інфраструктури перевірки та відбору інформації". Навіть у сучасному світі, де триває еволюція інструментів, важливість суворого тріажу, як дисципліни людини, залишається незмінною.

Ціна --

--

Відмова від відповідності: цей контент надано лише для загальних брендингових та інформаційних цілей і не є фінансовою, інвестиційною, юридичною чи податковою консультацією. Події, нагороди, онлайн-події або пов’язану інформацію, згадана тут, не слід розглядати як рекомендацію, прохання чи запрошення до купівлі, продажу, торгівлі чи інших операцій з криптоактивами або використання послуг. Криптоактиви є дуже волатильними та можуть призвести до збитків. Послуги WEEX та онлайн-події можуть бути недоступні в усіх регіонах та підпадають під дію чинних законів, правил та вимог до участі. Ви несете відповідальність за забезпечення відповідності використання вами послуг WEEX місцевому законодавству та за ретельну оцінку ризиків перед участю в діяльності, пов’язаній з криптовалютами.

Вам також може сподобатися

iconiconiconiconiconicon
Підтримка клієнтів:@weikecs
Співпраця:@weikecs
Кількісна торгівля та маркетмейкінг:bd@weex.com
VIP-програма:support@weex.com