Tim za sigurnost protokola Ethereum Foundationa pokrenuo je koordinirane agente umjetne inteligencije (AI) protiv koda o kojem Ethereum ovisi, otkrivši barem jednu udaljeno iskoristivu grešku, zajedno s bujicom uvjerljivih lažno pozitivnih nalaza koje su ljudi morali razmrsiti.
Ethereum Foundation Pustila AI Agente na Svoj Kod: Evo Što Su Zapravo Pronašli

Ključne poruke
- AI agenti Ethereum Foundationa otkrili su CVE-2026-34219, grešku u libp2p-ovom gossipsubu koja se može okinuti na daljinu.
- Jedan je agent proizveo oko 1.000 potencijalnih nalaza, pri čemu je 86% preporuka najviše razine prošlo stručnu provjeru.
- Zaklada je 9. srpnja poručila da je usko grlo trijaža, a ne pronalaženje bugova; ljudska validacija ostaje nužna.
Puno pogrešnih dijagnoza
Eksperiment je detaljno opisan u blog objavi koju je 9. srpnja objavio Nikos Baxevanis iz tima za sigurnost protokola zaklade, pod naslovom koji je ujedno poslužio kao teza tvrtke, tj. “Trijaža je proizvod.” Rezultati su privukli veliku pozornost jer su se najčešće označeni problemi pokazali kao lažno pozitivni (iako je među njima bilo i stvarnih bugova).

Glavno otkriće dovoljno je stvarno, jer su agenti pomogli otkriti panic koji se može okinuti na daljinu u gossipsubu, dijelu libp2p sloja peer-to-peer umrežavanja na kojem rade Ethereumovi klijenti konsenzusa. Propust je zakrpan i objavljen kao CVE-2026-34219 (vrsta greške koja bi, da ju je prvi pronašao napadač, mogla biti iskorištena za ometanje čvorova diljem mreže).
Pronalaženje bugova bilo je lakši dio
Iznenađenje, napisala je zaklada, nije bilo to što AI agenti mogu pronaći bugove, nego “koliko je malo posla otišlo na njihovo pronalaženje, a koliko na razlikovanje stvarnih bugova od onih koji samo izgledaju stvarno.”
Tim je katalogizirao ponavljajuće obrasce tih varalica, poput rušenja koja se događaju samo u debug buildovima i nikad u produkciji, reproduktora koji se oslanjaju na nedostižne interne vrijednosti koje nijedan napadač zapravo ne može dostaviti, te dokaza formalne verifikacije koji su tehnički točni, ali toliko neograničeni da ne dokazuju ništa.
Odgovor zaklade bio je strogi dokazni standard koji su saželi kao “reproducibilno ili se nije dogodilo.” Pojašnjenja radi, svaki potencijalni nalaz ubuduće mora biti popraćen samostalnim artefaktom koji reproducira kvar na stvarnom kodu, neovisno o tome koliko je agent koji izvještava uvjeren u svoj nalaz.
Agenti se u ovom kontekstu mogu promatrati kao generatori hipoteza (alati za pretraživanje, a ne donositelji odluka), organizirani u faze izviđanja, lova, popunjavanja praznina i validacije, pri čemu ljudi donose konačnu odluku.
Brojke iza hypea
Objava je ponudila i rijedak benchmark o tome koliko dobro trenutačna generacija alata radi. Agent za testiranje temeljeno na svojstvima (property-based testing) generirao je otprilike 1.000 potencijalnih nalaza, a nakon stručne provjere oko 86% njegovih preporuka najviše razine izdržalo je provjeru (snažno za stroj, ali stopa koja i dalje zahtijeva ljudski filtar prije nego što išta dotakne produkcijski kod).
Alati očito pronalaze stvarne ranjivosti u kritičnoj infrastrukturi, čime potkopavaju odbacivanje da su AI-generirana izvješća o bugovima čista buka. Ipak, opterećenje poslom nije nestalo, nego se jednostavno pomaknulo nizvodno na trijažu, gdje iskusni inženjeri odvajaju signal od simulacije. Za mrežu koja osigurava stotine milijardi dolara vrijednosti, taj je filtar važan.
Zaklada sada gura posao naprijed umjesto da ga tretira kao jednokratnu epizodu. Njezin Ecosystem Support Program, primjerice, financira namjenski krug grantova za sigurnost protokola pogonjenu AI-jem, koji pokriva istraživanje, auditiranje i detekciju ranjivosti.
Ovaj je članak preveden s engleskog jezika pomoću umjetne inteligencije. Izvorna engleska verzija mjerodavan je izvor; automatski prijevodi mogu sadržavati netočnosti, osobito u pravnoj i regulatornoj terminologiji.

















