مدعوم من
Featured

مؤسسة إيثريوم تطلق العنان لوكلاء الذكاء الاصطناعي لاستكشاف شفرتها: إليكم ما توصلوا إليه فعليًّا

قام فريق أمن البروتوكول التابع لمؤسسة إيثريوم بتشغيل عوامل ذكاء اصطناعي (AI) منسقة على الكود الذي يعتمد عليه إيثريوم، مما أدى إلى الكشف عن خطأ واحد على الأقل قابل للاستغلال عن بُعد، إلى جانب سيل من النتائج الإيجابية الخاطئة المقنعة التي اضطر البشر إلى تفكيكها.

مشاركة
مؤسسة إيثريوم تطلق العنان لوكلاء الذكاء الاصطناعي لاستكشاف شفرتها: إليكم ما توصلوا إليه فعليًّا

النقاط الرئيسية

  • كشفت عوامل الذكاء الاصطناعي التابعة لمؤسسة إيثريوم عن CVE-2026-34219، وهو خطأ قابل للتشغيل عن بُعد في gossipsub التابع لـ libp2p.
  • أنتج أحد الوكلاء حوالي 1,000 نتيجة محتملة، حيث نجح 86% من الاختيارات ذات الأولوية في اجتياز مراجعة الخبراء.
  • صرحت المؤسسة في 9 يوليو أن عملية الفرز، وليس اكتشاف الأخطاء، هي العقبة الرئيسية؛ ولا يزال التحقق البشري ضروريًا.

الكثير من التشخيصات الخاطئة

تم تفصيل التجربة في منشور مدونة نشره في 9 يوليو نيكوس باكسيفانيس من فريق أمن البروتوكول التابع للمؤسسة، تحت عنوان كان بمثابة أطروحة المؤسسة، أي "التصنيف هو المنتج". وقد جذبت النتائج اهتمامًا واسعًا حيث تبين أن معظم المشكلات التي تم الإبلاغ عنها كانت نتائج إيجابية خاطئة (على الرغم من وجود أخطاء حقيقية ضمن المجموعة).

Ethereum Foundation blog detailing the false positives from its recent tests.
مدونة مؤسسة إيثريوم التي توضح بالتفصيل النتائج الإيجابية الخاطئة التي واجهتها في اختباراتها الأخيرة.

الاكتشاف الرئيسي حقيقي بما فيه الكفاية، حيث ساعد الوكلاء في الكشف عن حالة ذعر يمكن تشغيلها عن بُعد في gossipsub، وهو جزء من طبقة الشبكات الند للند libp2p التي تعمل عليها عملاء إيثريوم للتوافق. تم إصلاح الخلل والكشف عنه تحت الرمز CVE-2026-34219 (وهو نوع من الأخطاء التي، لو اكتشفها مهاجم أولاً، كان من الممكن استخدامها لتعطيل العقد عبر الشبكة).

كان اكتشاف الأخطاء هو الجزء السهل

وكتبت المؤسسة أن المفاجأة لم تكمن في قدرة وكلاء الذكاء الاصطناعي على اكتشاف الأخطاء، بل في «قلة الجهد الذي بُذل في العثور عليها، ومقدار الجهد الذي بُذل في التمييز بين الأخطاء الحقيقية وتلك التي تبدو حقيقية فحسب».

قام الفريق بتصنيف الأشكال المتكررة لتلك «المزيفة»، مثل حالات التعطل التي تحدث فقط في إصدارات التصحيح ولا تحدث أبدًا في بيئة الإنتاج، و«المُعيدات» التي تعتمد على قيم داخلية غير قابلة للوصول لا يمكن لأي مهاجم توفيرها فعليًّا، وأدلة التحقق الرسمي التي تكون صحيحة من الناحية التقنية ولكنها غير مقيدة لدرجة أنها لا تثبت شيئًا.

كان رد المؤسسة هو وضع معيار إثبات صارم لخصته بعبارة «قابل للتكرار أو لم يحدث». وللتوضيح، أصبح مطلوبًا من الآن فصاعدًا أن يصاحب كل اكتشاف مرشح عنصر مستقل بحد ذاته يُعيد إنتاج الفشل على الكود الفعلي، بغض النظر عن مدى الثقة التي يدعيها الوكيل المبلغ.

يمكن النظر إلى الوكلاء، في هذا السياق، على أنهم مولدات للفرضيات (أدوات بحث، وليس صانعي قرار) منظمة في مراحل الاستطلاع، والبحث، وسد الثغرات، والتحقق، مع اتخاذ البشر القرار النهائي.

الأرقام وراء الضجة الإعلامية

قدمت المشاركة أيضًا معيارًا نادرًا لقياس مدى جودة أداء الجيل الحالي من الأدوات. أنتج وكيل اختبار قائم على الخصائص ما يقارب 1,000 نتيجة محتملة، وبعد مراجعة الخبراء، نجح حوالي 86% من توصياته من الدرجة الأولى في اجتياز الفحص الدقيق (وهو معدل قوي بالنسبة لآلة، لكنه لا يزال يتطلب مرشحًا بشريًا قبل أن يصل أي شيء إلى كود الإنتاج).

من الواضح أن الأدوات تكتشف ثغرات أمنية حقيقية في البنية التحتية الحيوية، مما يدحض الادعاء بأن تقارير الأخطاء التي تولدها الذكاء الاصطناعي هي مجرد ضجيج. ومع ذلك، فإن عبء العمل لم يختفِ بل انتقل ببساطة إلى مرحلة الفرز، حيث يقوم المهندسون ذوو الخبرة بفصل الإشارات الحقيقية عن المحاكاة. وبالنسبة لشبكة تحمي أصولًا تبلغ قيمتها مئات المليارات من الدولارات، فإن هذا التصفية أمر مهم.

وتعمل المؤسسة الآن على دفع هذا العمل إلى الأمام بدلاً من التعامل معه على أنه مبادرة لمرة واحدة. فعلى سبيل المثال، يمول «برنامج دعم النظام البيئي» التابع لها جولة منح مخصصة لأمن البروتوكولات المدعوم بالذكاء الاصطناعي، والتي تغطي مجالات البحث والتدقيق وكشف الثغرات الأمنية.

"الخصوصية لم تعد مسألة ثانوية": فيتاليك بوتيرين يكشف عن خطة مدتها 3-4 سنوات لإعادة بناء إيثريوم

"الخصوصية لم تعد مسألة ثانوية": فيتاليك بوتيرين يكشف عن خطة مدتها 3-4 سنوات لإعادة بناء إيثريوم

تستهدف خارطة طريق «إيثريوم لين» التي وضعها فيتاليك بوتيرين إعادة بناء المشروع على مدى 3 إلى 4 سنوات، مع التركيز على إثباتات STARK، ومقاومة الحوسبة الكمومية، وخصوصية المُصدقين كأهداف رئيسية. read more.

تمت ترجمة هذه المقالة من الإنجليزية باستخدام الذكاء الاصطناعي. النسخة الإنجليزية الأصلية هي المصدر الموثوق؛ وقد تحتوي الترجمات الآلية على أخطاء، لا سيما في المصطلحات القانونية والتنظيمية.

وسوم في هذه القصة