Pasukan keselamatan protokol Yayasan Ethereum menjalankan ejen kecerdasan buatan (AI) yang diselaraskan terhadap kod yang menjadi sandaran Ethereum, sekali gus mendedahkan sekurang-kurangnya satu pepijat yang boleh dieksploitasi dari jauh serta limpahan positif palsu yang meyakinkan sehingga manusia perlu menguraikannya.
Yayasan Ethereum Melepaskan Ejen AI pada Kodnya: Ini Apa yang Mereka Sebenarnya Temui

Intipati Utama
- Ejen AI Yayasan Ethereum menemui CVE-2026-34219, pepijat yang boleh dicetuskan dari jauh dalam gossipsub libp2p.
- Seorang ejen menghasilkan kira-kira 1,000 dapatan calon, dengan 86% daripada pilihan bertaraf tertinggi melepasi semakan pakar.
- Yayasan menyatakan pada 9 Julai bahawa penapisan (triage), bukan pencarian pepijat, ialah kekangan utama; pengesahan manusia kekal penting.
Banyak Salah Diagnosis
Eksperimen itu diperincikan dalam catatan blog yang diterbitkan pada 9 Julai oleh Nikos Baxevanis daripada pasukan keselamatan protokol yayasan, di bawah tajuk yang turut berfungsi sebagai tesis firma, iaitu “Triage ialah produknya.” Dapatan itu menarik perhatian meluas kerana isu yang paling banyak ditandakan rupa-rupanya positif palsu (walaupun terdapat pepijat sebenar dalam campuran tersebut).

Penemuan utama itu memang nyata, apabila ejen membantu mendedahkan panic yang boleh dicetuskan dari jauh dalam gossipsub, sebahagian daripada lapisan rangkaian rakan-ke-rakan libp2p yang digunakan klien konsensus Ethereum. Kelemahan itu telah diperbaiki dan didedahkan sebagai CVE-2026-34219 (jenis pepijat yang, jika ditemui terlebih dahulu oleh penyerang, boleh digunakan untuk mengganggu nod di seluruh rangkaian).
Mencari Pepijat Itu Bahagian Mudah
Kejutan, tulis yayasan, bukanlah bahawa ejen AI boleh mencari pepijat tetapi “betapa sedikit kerja yang dilakukan untuk mencarinya, dan betapa banyak kerja yang dilakukan untuk membezakan pepijat sebenar daripada yang hanya kelihatan seperti benar.”
Pasukan itu mengkatalogkan corak berulang bagi penyamar tersebut, seperti ranap yang hanya berlaku dalam binaan debug dan tidak pernah dalam produksi, penghasil ulang (reproducer) yang bergantung pada nilai dalaman yang tidak boleh dicapai dan tidak mungkin dibekalkan oleh mana-mana penyerang, serta bukti pengesahan formal yang secara teknikalnya benar tetapi terlalu tidak terikat sehingga tidak membuktikan apa-apa.
Jawapan yayasan ialah piawaian bukti yang tegas yang dirumuskannya sebagai “boleh dihasilkan semula atau ia tidak berlaku.” Untuk memperincikan, setiap dapatan calon kini diwajibkan disertakan dengan artifak kendiri yang menghasilkan semula kegagalan terhadap kod sebenar, tanpa bergantung pada setinggi mana keyakinan ejen pelapor mendakwa.
Ejen, dalam konteks ini, boleh dilihat sebagai penjana hipotesis (alat carian, bukan pembuat keputusan) yang diatur ke dalam peringkat peninjauan, pemburuan, pengisian jurang, dan pengesahan, dengan manusia membuat keputusan muktamad.
Angka Di Sebalik Gembar-Gembur
Catatan itu juga menawarkan penanda aras yang jarang bagi sejauh mana generasi semasa alat-alat ini berprestasi. Seorang ejen ujian berasaskan sifat (property-based testing) menjana kira-kira 1,000 dapatan calon, dan selepas semakan pakar, sekitar 86% daripada cadangan bertaraf tertingginya melepasi penelitian (kukuh untuk mesin, tetapi kadar yang masih memerlukan penapis manusia sebelum apa-apa menyentuh kod produksi).
Alat-alat ini jelas menemui kelemahan sebenar dalam infrastruktur kritikal, sekali gus melemahkan tanggapan bahawa laporan pepijat yang dijana AI hanyalah hingar semata-mata. Namun beban kerja tidak hilang, sebaliknya hanya beralih ke hiliran kepada proses penapisan (triage), di mana jurutera berpengalaman memisahkan isyarat daripada simulasi. Bagi rangkaian yang melindungi nilai ratusan bilion dolar, penapis itu penting.
Yayasan kini meneruskan usaha tersebut dan bukannya menganggapnya sebagai projek sekali lalu. Program Sokongan Ekosistemnya, misalnya, membiayai pusingan geran khusus untuk keselamatan protokol dipacu AI, merangkumi penyelidikan, audit, dan pengesanan kerentanan.
Artikel ini telah diterjemahkan daripada bahasa Inggeris menggunakan AI. Versi asal dalam bahasa Inggeris ialah sumber yang berwibawa; terjemahan automatik mungkin mengandungi ketidaktepatan, terutamanya dalam terminologi undang-undang dan kawal selia.

















