Sağlayan
Featured

Ethereum Vakfı, Yapay Zeka Ajanlarını Koduna Serbest Bıraktı: İşte Gerçekte Ne Buldukları

Ethereum Vakfı’nın protokol güvenlik ekibi, Ethereum’un dayandığı kod üzerinde koordineli yapay zeka (AI) ajanları çalıştırdı; bu süreçte, insanların ayıklaması gereken çok sayıda inandırıcı yanlış pozitif sonucun yanı sıra, uzaktan istismar edilebilen en az bir hata ortaya çıktı.

PAYLAŞ
Ethereum Vakfı, Yapay Zeka Ajanlarını Koduna Serbest Bıraktı: İşte Gerçekte Ne Buldukları

Önemli Noktalar

  • Ethereum Vakfı'nın AI ajanları, libp2p'nin gossipsub bileşeninde uzaktan tetiklenebilen bir hata olan CVE-2026-34219'u ortaya çıkardı.
  • Bir ajan yaklaşık 1.000 olası bulgu üretti ve en üst düzeyde değerlendirilen bulguların %86'sı uzman incelemesinden geçti.
  • Vakıf, 9 Temmuz’da, asıl darboğazın hata bulma değil, ön eleme olduğunu belirtti; insan tarafından yapılan doğrulama hâlâ vazgeçilmez bir unsurdur.

Çok Sayıda Yanlış Teşhis

Deney, vakfın protokol güvenlik ekibinden Nikos Baxevanis tarafından 9 Temmuz'da yayınlanan bir blog yazısında ayrıntılı olarak anlatıldı. Yazının başlığı, aynı zamanda şirketin tezi olan "Triage, üründür" idi. En çok işaretlenen sorunların yanlış pozitifler olduğu ortaya çıktığı için (aralarında gerçek hatalar da olsa) bulgular geniş ilgi gördü.

Ethereum Foundation blog detailing the false positives from its recent tests.
Ethereum Vakfı blogu, son testlerinde karşılaşılan yanlış pozitifleri ayrıntılı olarak anlatıyor.

En önemli keşif yeterince gerçektir; çünkü ajanlar, Ethereum konsensüs istemcilerinin üzerinde çalıştığı libp2p eşler arası ağ katmanının bir parçası olan gossipsub’da uzaktan tetiklenebilen bir panik durumunun ortaya çıkmasına yardımcı oldu. Bu güvenlik açığı giderildi ve CVE-2026-34219 olarak açıklandı (bu tür bir hata, bir saldırgan tarafından ilk keşfedilmiş olsaydı, ağdaki düğümleri bozmak için kullanılabilirdi).

Hata Bulmak İşin Kolay Kısmıydı

Vakfın belirttiği üzere asıl sürpriz, AI ajanlarının hataları bulabilmesi değil, “hataları bulmak için ne kadar az çaba harcanmış olması ve gerçek hataları sadece gerçek gibi görünenlerden ayırt etmek için ne kadar çok çaba harcanmış olması”ydı.

Ekip, bu sahte hataların tekrarlayan özelliklerini katalogladı: örneğin, yalnızca hata ayıklama sürümlerinde ortaya çıkan ve üretim ortamında asla görülmeyen çökmeler; hiçbir saldırganın gerçekte sağlayamayacağı, ulaşılamaz dahili değerlere dayanan yeniden üretilebilir hatalar; ve teknik olarak doğru ancak o kadar sınırsız ki hiçbir şeyi kanıtlamayan biçimsel doğrulama kanıtları.

Vakfın cevabı, “tekrar üretilebilir ya da hiç olmamıştır” şeklinde özetlediği katı bir kanıt standardıydı. Daha ayrıntılı olarak açıklamak gerekirse, bundan böyle her potansiyel bulgunun, raporlama ajanın ne kadar emin olduğunu iddia ettiği önemli olmaksızın, gerçek koda karşı hatayı yeniden üreten bağımsız bir çıktı ile birlikte sunulması zorunludur.

Bu bağlamda ajanlar, keşif, avlanma, boşluk doldurma ve doğrulama aşamalarına göre organize edilmiş hipotez üreticiler (karar vericiler değil, arama araçları) olarak görülebilir; nihai kararı ise insanlar verir.

Hype’ın Arkasındaki Rakamlar

Yazı, mevcut nesil araçların ne kadar iyi performans gösterdiğine dair nadir bir karşılaştırma da sunuyordu. Özellik tabanlı bir test ajanı yaklaşık 1.000 potansiyel bulgu üretti ve uzman incelemesinin ardından, en üst düzey önerilerinin yaklaşık %86’sı incelemeyi geçti (bir makine için güçlü bir oran, ancak üretim koduna herhangi bir şey ulaşmadan önce yine de bir insan filtresi gerektiren bir oran).

Araçlar, kritik altyapıda gerçek güvenlik açıklarını açıkça tespit ediyor ve böylece yapay zeka tarafından oluşturulan hata raporlarının sadece gürültü olduğu yönündeki iddiaları çürütüyor. Ancak iş yükü ortadan kalkmadı; sadece deneyimli mühendislerin sinyali simülasyondan ayırdığı triyaj aşamasına kaydı. Yüz milyarlarca dolarlık değeri koruyan bir ağ için bu filtre önemlidir.

Vakıf artık bu çalışmayı tek seferlik bir girişim olarak ele almak yerine, daha ileriye taşımaya çalışıyor. Örneğin, Ekosistem Destek Programı, araştırma, denetim ve güvenlik açığı tespitini kapsayan, yapay zeka destekli protokol güvenliği için özel bir hibe turuna fon sağlıyor.

Bu makale yapay zeka kullanılarak İngilizceden çevrilmiştir. Orijinal İngilizce sürüm yetkili kaynaktır; otomatik çeviriler, özellikle hukuki ve düzenleyici terminolojide hatalar içerebilir.

Bu haberdeki etiketler