Poháňa
Featured

Nadácia Ethereum nechala umelú inteligenciu preskúmať svoj kód: Tu je to, čo skutočne zistili

Tím pre bezpečnosť protokolu nadácie Ethereum spustil koordinované agenty umelej inteligencie (AI) na kóde, na ktorom je Ethereum závislé, a odhalil aspoň jednu chybu, ktorú bolo možné zneužiť na diaľku, spolu s množstvom presvedčivých falošných poplachov, ktoré museli ľudia rozlúštiť.

ZDIEĽAŤ
Nadácia Ethereum nechala umelú inteligenciu preskúmať svoj kód: Tu je to, čo skutočne zistili

Kľúčové závery

  • Agenti umelej inteligencie nadácie Ethereum odhalili chybu CVE-2026-34219, ktorú je možné spustiť na diaľku v module gossipsub knižnice libp2p.
  • Jeden agent vygeneroval približne 1 000 potenciálnych nálezov, pričom 86 % najdôležitejších z nich prešlo odborným posúdením.
  • Nadácia 9. júla uviedla, že úzkym miestom je triedenie nálezov, nie ich vyhľadávanie; ľudská validácia zostáva nevyhnutná.

Veľa nesprávnych diagnóz

Experiment bol podrobne opísaný v blogovom príspevku, ktorý 9. júla zverejnil Nikos Baxevanis z tímu pre bezpečnosť protokolu nadácie pod názvom, ktorý zároveň slúžil ako téza spoločnosti, t. j. „Triage je produkt.“ Tieto zistenia vzbudili širokú pozornosť, keďže sa ukázalo, že väčšina nahlásených problémov boli falošné poplachy (hoci medzi nimi boli aj skutočné chyby).

Ethereum Foundation blog detailing the false positives from its recent tests.
Blog nadácie Ethereum, v ktorom sa podrobne opisujú falošné poplachy zistené pri nedávnych testoch.

Hlavný objav je dostatočne reálny, keďže agenti pomohli odhaliť diaľkovo spustiteľnú paniku v gossipsub, časti vrstvy peer-to-peer siete libp2p, na ktorej bežia konsenzuálne klienty Etherea. Chyba bola opravená a zverejnená ako CVE-2026-34219 (ide o typ chyby, ktorá by v prípade, že by ju ako prvý objavil útočník, mohla byť využitá na narušenie fungovania uzlov v celej sieti).

Nájdenie chýb bolo tou ľahšou časťou

Prekvapením, ako nadácia uviedla, nebolo to, že agenti umelej inteligencie dokázali nájsť chyby, ale „ako málo úsilia si ich vyhľadávanie vyžiadalo a koľko úsilia bolo potrebné na odlíšenie skutočných chýb od tých, ktoré len vyzerali ako skutočné“.

Tím skatalogizoval opakujúce sa vzory týchto podvodníkov, napríklad pády, ktoré sa vyskytujú iba v ladiacich zostavách a nikdy vo výrobnom prostredí, reprodukovateľné chyby, ktoré závisia od nedosiahnuteľných interných hodnôt, ktoré žiadny útočník nemôže skutočne poskytnúť, a dôkazy formálnej verifikácie, ktoré sú technicky pravdivé, ale natoľko neobmedzené, že nič nedokazujú.

Odpoveďou nadácie bol prísny dôkazný štandard, ktorý zhrnula ako „reprodukovateľné, alebo sa to nestalo“. Presnejšie povedané, každý potenciálny nález musí odteraz obsahovať samostatný artefakt, ktorý reprodukuje zlyhanie na skutočnom kóde, nezávisle od toho, akú istotu si hlásajúci agent nárokuje.

Agentov možno v tomto kontexte vnímať ako generátory hypotéz (vyhľadávacie nástroje, nie rozhodovateľov) organizované do fáz prieskumu, vyhľadávania, vyplňovania medzier a validácie, pričom konečné rozhodnutie prijímajú ľudia.

Čísla za týmto rozruchom

Príspevok tiež ponúkol vzácny porovnávací test toho, ako dobre funguje súčasná generácia nástrojov. Agent na testovanie založené na vlastnostiach vygeneroval približne 1 000 potenciálnych nálezov a po odbornom preskúmaní prešlo kontrolou približne 86 % jeho najdôležitejších odporúčaní (čo je na stroj dobrý výsledok, ale ide o mieru, ktorá stále vyžaduje ľudský filter, skôr než sa čokoľvek dostane do produkčného kódu).

Tieto nástroje zjavne nachádzajú skutočné zraniteľnosti v kritickej infraštruktúre, čím vyvracajú tvrdenie, že hlásenia o chybách generované umelou inteligenciou sú len šumom. Pracovná záťaž však nezmizla, ale jednoducho sa presunula ďalej do fázy triedenia, kde skúsení inžinieri oddeľujú skutočné signály od simulácií. Pre sieť, ktorá chráni hodnotu v hodnote stoviek miliárd dolárov, je tento filter dôležitý.

Nadácia teraz túto prácu posúva ďalej, namiesto toho, aby ju považovala za jednorazovú záležitosť. Jej program podpory ekosystému (Ecosystem Support Program) napríklad financuje špeciálne kolo grantov zamerané na bezpečnosť protokolov poháňanú umelou inteligenciou, ktoré pokrýva výskum, audity a detekciu zraniteľností.

Tento článok bol preložený z angličtiny pomocou umelej inteligencie. Pôvodná anglická verzia je autoritatívnym zdrojom; automatické preklady môžu obsahovať nepresnosti, najmä v právnej a regulačnej terminológii.

Značky v tomto článku