इथेरियम फाउंडेशन की प्रोटोकॉल सुरक्षा टीम ने इथेरियम पर निर्भर कोड के खिलाफ समन्वित कृत्रिम बुद्धिमत्ता (AI) एजेंट चलाए, जिससे कम से कम एक दूरस्थ रूप से शोषित की जा सकने वाली बग सामने आई, साथ ही इंसानों को सुलझाने के लिए झूठे सकारात्मक परिणामों की बाढ़ आ गई।
एथेरियम फाउंडेशन ने अपने कोड पर एआई एजेंट्स को लगाया: आइए जानते हैं कि उन्होंने वास्तव में क्या पाया

मुख्य निष्कर्ष
- इथेरियम फाउंडेशन के एआई एजेंटों ने CVE-2026-34219 का पता लगाया, जो libp2p के gossipsub में एक दूरस्थ रूप से ट्रिगर होने वाला बग है।
- एक एजेंट ने लगभग 1,000 संभावित निष्कर्ष उत्पन्न किए, जिनमें से शीर्ष-स्तरीय चयन का 86% विशेषज्ञ समीक्षा में सही पाया गया।
- फाउंडेशन ने 9 जुलाई को कहा कि बग खोजने के बजाय प्राथमिकता निर्धारण (ट्रायाज) ही मुख्य बाधा है; मानवीय सत्यापन आवश्यक बना हुआ है।
गलत निदान की भरमार
इस प्रयोग का विवरण 9 जुलाई को फाउंडेशन की प्रोटोकॉल सुरक्षा टीम के निकोस बक्सेवानिस द्वारा प्रकाशित एक ब्लॉग पोस्ट में दिया गया था, जिसका शीर्षक कंपनी के थीसिस के रूप में भी काम करता था, यानी "ट्रायाज ही उत्पाद है।" इन निष्कर्षों ने व्यापक ध्यान आकर्षित किया क्योंकि सबसे अधिक चिह्नित मुद्दे फर्जी सकारात्मक (false positives) निकले (हालांकि मिश्रण में वास्तविक बग भी थे)।

यह मुख्य खोज वास्तविक है, क्योंकि एजेंटों ने गॉसिपसब (gossipsub) में दूर से ट्रिगर की जा सकने वाली एक खामी को उजागर करने में मदद की, जो उस libp2p पीयर-टू-पीयर नेटवर्किंग लेयर का हिस्सा है जिस पर एथेरियम कंसेंसस क्लाइंट्स चलते हैं। इस खामी को ठीक कर दिया गया और इसे CVE-2026-34219 के रूप में प्रकट किया गया (इस तरह की बग, यदि किसी हमलावर द्वारा पहले पाई जाती, तो पूरे नेटवर्क में नोड्स को बाधित करने के लिए इस्तेमाल की जा सकती थी)।
बग ढूँढना आसान हिस्सा था
फाउंडेशन ने लिखा, आश्चर्य यह नहीं था कि एआई एजेंट बग ढूंढ सकते थे, बल्कि यह था कि "उन्हें खोजने में कितना कम काम लगा, और वास्तविक बग्स को उन बग्स से अलग करने में कितना अधिक काम लगा जो केवल वास्तविक दिखते थे।"
टीम ने उन नकली बग्स के बार-बार आने वाले रूपों को सूचीबद्ध किया, जैसे कि क्रैश जो केवल डिबग बिल्ड में होते हैं और प्रोडक्शन में कभी नहीं होते, ऐसे रिप्रोड्यूसर जो ऐसी आंतरिक मान्यताओं पर निर्भर करते हैं जिन्हें कोई हमलावर वास्तव में प्रदान नहीं कर सकता, और औपचारिक-सत्यापन प्रमाण जो तकनीकी रूप से तो सही हैं लेकिन इतने असंयमित हैं कि वे कुछ भी साबित नहीं करते।
फाउंडेशन का जवाब एक सख्त साक्ष्य मानक था जिसे उसने "पुनरुत्पादित हो सकता है या यह हुआ ही नहीं" के रूप में संक्षेपित किया। विस्तार से कहें तो, अब हर संभावित खोज के साथ एक स्व-निहित आर्टिफैक्ट (आशय-वस्तु) संलग्न करना अनिवार्य होगा जो वास्तविक कोड पर उस विफलता को दोहरा सके, इस बात से स्वतंत्र कि रिपोर्टिंग एजेंट कितनी भी आत्मविश्वासी दावा करे।
इस संदर्भ में, एजेंट्स को परिकल्पना उत्पन्न करने वाले (खोज उपकरण, निर्णयकर्ता नहीं) के रूप में देखा जा सकता है, जो पुनःखोज, शिकार, अंतराल-पूर्ति और सत्यापन चरणों में संगठित होते हैं, और अंतिम निर्णय मनुष्यों द्वारा लिया जाता है।
हाइप के पीछे के आँकड़े
इस पोस्ट में यह भी बताया गया कि वर्तमान पीढ़ी के उपकरण कितने अच्छे से काम करते हैं, इसका एक दुर्लभ मानक प्रस्तुत किया गया। एक प्रॉपर्टी-आधारित परीक्षण एजेंट ने लगभग 1,000 संभावित निष्कर्ष उत्पन्न किए, और विशेषज्ञ समीक्षा के बाद, इसकी शीर्ष-स्तरीय सिफारिशों में से लगभग 86% जांच में खरे उतरे (एक मशीन के लिए यह बहुत अच्छा है, लेकिन यह एक ऐसी दर है जिसके लिए किसी भी चीज़ को प्रोडक्शन कोड तक पहुँचने से पहले मानवीय फ़िल्टर की आवश्यकता होती है)।
ये उपकरण स्पष्ट रूप से महत्वपूर्ण बुनियादी ढांचे में वास्तविक कमजोरियों का पता लगा रहे हैं, जिससे इस बात को कमज़ोर किया जा रहा है कि एआई-जनित बग रिपोर्टें सिर्फ़ शोर हैं। फिर भी, यह कार्यभार गायब नहीं हुआ है, बल्कि बस आगे के विश्लेषण (ट्रायाज) के लिए स्थानांतरित हो गया है, जहाँ अनुभवी इंजीनियर असली जानकारी को नकली से अलग करते हैं। सैकड़ों अरब डॉलर के मूल्य को सुरक्षित करने वाले नेटवर्क के लिए, यह फ़िल्टर महत्वपूर्ण है।
फाउंडेशन अब इस काम को एक बार की घटना मानने के बजाय इसे आगे बढ़ा रहा है। उदाहरण के लिए, इसका इकोसिस्टम सपोर्ट प्रोग्राम, एआई-संचालित प्रोटोकॉल सुरक्षा के लिए एक समर्पित अनुदान दौर को वित्त पोषित कर रहा है, जिसमें अनुसंधान, ऑडिटिंग और भेद्यता का पता लगाना शामिल है।
यह लेख AI का उपयोग करके अंग्रेज़ी से अनुवादित किया गया था। मूल अंग्रेज़ी संस्करण आधिकारिक स्रोत है; स्वचालित अनुवादों में अशुद्धियाँ हो सकती हैं, विशेष रूप से कानूनी और नियामक शब्दावली में।

















