Toetab
Featured

Ethereumi Sihtasutus lasi oma koodi kallal tegutseda tehisintellekti agentidel: siin on, mida nad tegelikult avastasid

Ethereumi Sihtasutuse protokolli turvalisuse meeskond kasutas koordineeritud tehisintellekti (AI) agente Ethereumi aluseks oleva koodi kontrollimiseks, tuues päevavalgele vähemalt ühe kaugjuhtimisega ärakasutatava vea koos hulga veenvaid valehäireid, mida inimesed pidid lahti harutama.

JAGA
Ethereumi Sihtasutus lasi oma koodi kallal tegutseda tehisintellekti agentidel: siin on, mida nad tegelikult avastasid

Peamised järeldused

  • Ethereumi fondi tehisintellekti agendid avastasid CVE-2026-34219, libp2p-i gossipsub-is asuva kaugjuhtimisega käivitatava vea.
  • Üks agent esitas umbes 1000 võimalikku leidu, millest 86% esmataseme valikutest pidasid eksperdid läbivaatamisel paika.
  • Sihtasutus teatas 9. juulil, et pudelikaelaks on mitte vea leidmine, vaid selle sorteerimine; inimese poolt läbiviidav valideerimine jääb endiselt hädavajalikuks.

Palju valediagnoose

Katset kirjeldati üksikasjalikult fondi protokolli turvalisuse meeskonna liikme Nikos Baxevanise 9. juulil avaldatud blogipostituses, mille pealkiri oli ühtlasi ka ettevõtte põhimõte: „Triage on toode.” Tulemused pälvisid laialdast tähelepanu, kuna enamik märgistatud probleeme osutusid valepositiivseteks (kuigi nende hulgas oli ka tõelisi vigu).

Ethereum Foundation blog detailing the false positives from its recent tests.
Ethereumi fondi blogi, milles kirjeldatakse hiljutistes testides esinenud valepositiivseid tulemusi.

Peamine avastus on piisavalt reaalne, kuna agendid aitasid paljastada gossipsubis kaugjuhtimisega käivitatavat paanikat – gossipsub on osa libp2p peer-to-peer võrgukihtist, millel Ethereumi konsensusklendid töötavad. Viga parandati ja avaldati koodiga CVE-2026-34219 (selline viga, mida ründaja oleks võinud kasutada võrgu sõlmede töö häirimiseks, kui ta oleks selle esimesena avastanud).

Vigade leidmine oli lihtne osa

Üllatuseks oli fondi sõnul mitte see, et tehisintellekti agendid suutsid vigu leida, vaid „kui vähe tööd kulus nende leidmisele ja kui palju kulus tõeliste vigade eristamisele nendest, mis lihtsalt tõelistena paistsid“.

Meeskond kataloogis nende võltsvigu korduvad vormid, näiteks krahhid, mis esinevad ainult silumiskompilatsioonides ja mitte kunagi tootmiskeskkonnas; vigu, mille taasesitamine sõltub kättesaamatutest sisemistest väärtustest, mida ükski ründaja tegelikult pakkuda ei suudaks; ning formaalse verifitseerimise tõendeid, mis on tehniliselt tõesed, kuid nii piiranguteta, et need midagi ei tõesta.

Sihtasutuse vastuseks oli range tõendamisstandard, mida ta kokkuvõtlikult sõnastas järgmiselt: „korduv või seda ei juhtunud“. Täpsemalt öeldes peab iga potentsiaalne leid edaspidi olema varustatud iseseisva artefaktiga, mis kordab viga tegeliku koodi suhtes, sõltumata sellest, kui kindel on viga teatanud agent oma väites.

Agente võib selles kontekstis vaadelda kui hüpoteeside genereerijaid (otsinguvahendeid, mitte otsustajaid), kes on organiseeritud luure-, jahti-, lünkade täitmise ja valideerimise etappidesse, kusjuures lõpliku otsuse teevad inimesed.

Hüpe taga peituvad numbrid

Postitus pakkus ka haruldast võrdlusalust selle kohta, kui hästi praeguse põlvkonna tööriistad toimivad. Omaduspõhine testimisagent genereeris ligikaudu 1000 potentsiaalset leidu ning pärast ekspertide läbivaatamist pidasid umbes 86% selle esmatasandi soovitustest kontrollile vastu (mis on masina jaoks tugev tulemus, kuid see määr nõuab siiski inimese poolt teostatavat filtreerimist enne, kui miski puutub tootmiskoodiga kokku).

Tööriistad leiavad kriitilises infrastruktuuris selgelt reaalsed haavatavused, lükates seega ümber väite, et tehisintellekti poolt genereeritud veateated on pelgalt müra. Siiski ei ole töökoormus kadunud, vaid lihtsalt nihkunud allavoolu triaažini, kus kogenud insenerid eraldavad signaali simulatsioonist. Võrgustiku jaoks, mis kaitseb sadade miljardite dollarite väärtuses vara, on see filter oluline.

Sihtasutus viib seda tööd nüüd edasi, selle asemel et käsitleda seda ühekordse projektina. Näiteks rahastab sihtasutuse ökosüsteemi toetusprogramm spetsiaalset toetusvooru tehisintellekti abil toimiva protokolliturvalisuse jaoks, mis hõlmab uurimistööd, auditeerimist ja haavatavuste avastamist.

See artikkel tõlgiti inglise keelest tehisintellekti abil. Ingliskeelne originaalversioon on autoriteetne allikas; automaatsed tõlked võivad sisaldada ebatäpsusi, eriti juriidilises ja regulatiivses terminoloogias.