Ekipa za varnost protokolov Fundacije Ethereum je izvedla usklajeno testiranje z agenti umetne inteligence (AI) na kodi, od katere je odvisen Ethereum, pri čemer je odkrila vsaj eno napako, ki jo je mogoče izkoristiti na daljavo, skupaj z množico prepričljivih lažnih pozitivnih rezultatov, ki so jih morali razvozlati ljudje.
Fundacija Ethereum je na svojo kodo spustila agente umetne inteligence: to so dejansko odkrili

Ključne ugotovitve
- Agenti umetne inteligence Fundacije Ethereum so odkrili CVE-2026-34219, napako v libp2p-jevem gossipsub, ki jo je mogoče sprožiti na daljavo.
- En agent je ustvaril približno 1.000 potencialnih ugotovitev, pri čemer je 86 % najbolj verjetnih izmed njih prestalo strokovno presojo.
- Fundacija je 9. julija izjavila, da je ozko grlo prav razvrščanje, ne pa odkrivanje napak; človeška validacija ostaja bistvena.
Veliko napačnih diagnoz
Poskus je bil podrobno opisal v blogu, ki ga je 9. julija objavil Nikos Baxevanis iz ekipe za varnost protokola fundacije, pod naslovom, ki je hkrati služil kot teza podjetja, tj. »Razvrščanje je produkt.« Ugotovitve so pritegnile veliko pozornosti, saj so se najbolj označene težave izkazale za lažne pozitivne rezultate (čeprav so bile med njimi tudi prave napake).

Glavno odkritje je povsem resnično, saj so agenti pomagali odkriti paniko, ki jo je mogoče sprožiti na daljavo v gossipsub, delu omrežnega sloja libp2p za povezovanje med enakovrednimi vozli (peer-to-peer), na katerem tečejo konsenzni odjemalci Ethereuma. Napaka je bila odpravljena in objavljena kot CVE-2026-34219 (vrsta napake, ki bi jo napadalec, če bi jo odkril prvi, lahko izkoristil za motenje delovanja vozlišč po celotnem omrežju).
Iskanje napak je bil lažji del
Presenečenje, kot je zapisala fundacija, ni bilo v tem, da so agenti umetne inteligence lahko našli napake, ampak v tem, »kako malo truda je bilo potrebnega za njihovo odkrivanje in koliko za razlikovanje med resničnimi napakami in tistimi, ki so le izgledale resnične«.
Ekipa je katalogizirala ponavljajoče se oblike teh »sleparjev«, kot so sesutja, ki se pojavijo le v različicah za odpravljanje napak in nikoli v produkcijskem okolju, primeri, ki temeljijo na nedosegljivih notranjih vrednostih, ki jih noben napadalec dejansko ne bi mogel zagotoviti, ter dokazi formalne verifikacije, ki so tehnično resnični, a tako neomejeni, da ne dokazujejo ničesar.
Odgovor fundacije je bil strog dokazni standard, ki ga je povzela z geslom »reproducibilno ali se ni zgodilo«. Natančneje, vsaka potencialna ugotovitev mora od zdaj naprej vsebovati samostojen artefakt, ki napako reproducira na dejanskem kodu, ne glede na to, kako prepričan je agent, ki jo poroča.
Poročevalce lahko v tem kontekstu obravnavamo kot generatorje hipotez (orodja za iskanje, ne pa kot tiste, ki sprejemajo odločitve), razvrščene v faze raziskovanja, iskanja, zapolnjevanja vrzeli in preverjanja, pri čemer končno odločitev sprejmejo ljudje.
Številke za medijskim pompom
Objava je ponudila tudi redko primerjavo uspešnosti sedanje generacije orodij. Agent za testiranje na podlagi lastnosti je ustvaril približno 1.000 potencialnih ugotovitev, po strokovnem pregledu pa je približno 86 % njegovih najpomembnejših priporočil prestalo natančno preverjanje (kar je za stroj odličen rezultat, vendar je ta stopnja še vedno takšna, da zahteva človeški filter, preden karkoli pride v stik s produkcijsko kodo).
Orodja očitno odkrivajo resnične ranljivosti v kritični infrastrukturi, s čimer ovržejo trditev, da so poročila o napakah, ki jih ustvari umetna inteligenca, le prazen hrup. Vendar delovna obremenitev ni izginila, ampak se je preprosto premaknila navzdol po verigi do razvrščanja, kjer izkušeni inženirji ločijo signal od šuma. Za omrežje, ki varuje vrednost v višini več sto milijard dolarjev, je ta filter pomemben.
Fundacija zdaj to delo nadaljuje, namesto da bi ga obravnavala kot enkraten projekt. Njen program podpore ekosistemu (Ecosystem Support Program) na primer financira namenski razpis za varnost protokolov, ki temelji na umetni inteligenci, in zajema raziskave, revizije ter odkrivanje ranljivosti.
Ta članek je bil iz angleščine preveden z umetno inteligenco. Izvirna angleška različica je verodostojni vir; samodejni prevodi lahko vsebujejo netočnosti, zlasti pri pravni in regulativni terminologiji.

















