以太坊基金会将人工智能应用于以太坊网络,以在黑客之前发现漏洞

CN
Decrypt
关注
1小时前

以太坊基金会正在使用一群AI代理攻击以太坊——在其他人之前。


在周四的一篇博客文章中,以太坊基金会的协议安全团队研究人员表示,他们已部署一系列AI代理,针对以太坊所依赖的软件,寻找密码系统、协议代码和智能合约中的漏洞。


“我们一直在针对网络依赖的系统,如系统软件、密码代码和必须正确的合同,运行协调的AI代理,”研究人员写道。“代理发现了真正的漏洞。”


发现的一个漏洞包括libp2p的gossipsub中的远程触发恐慌,这是以太坊共识客户端使用的点对点层的一部分。该问题已得到修复,并在Github上披露为CVE-2026-34219





这一被称为红队的做法涉及公司部署安全研究人员攻击他们自己的系统,试图渗透或干扰网络以发现弱点,在恶意黑客之前发现这些弱点。当红队攻击系统时,蓝队负责防御。


人类研究人员传统上通过手动审核代码来寻找漏洞——但AI代理可以扫描整个代码库,测试潜在的利用方案,并生成报告供审核。


“代理发现漏洞并不是惊讶,”团队写道。“令人惊讶的是,发现它们所需的工作量是多么少,以及在从看起来真实的漏洞中区分真正漏洞上需要付出多少精力。”


根据以太坊基金会的说法,代理被组织成专业角色,包括侦察、狩猎、填补空白和验证。有些代理寻找可能的攻击路径,而其他代理则试图重现故障并验证它们是否在生产代码中有效。


“这个架构是有原因的,”他们写道。“它强制提出一个具体的、可测试的主张,以及明确的完成定义。必须写下可观察证明的代理无法依赖于‘这看起来有风险’。”


AI在漏洞研究中日益增长的作用在四月得到了体现,当时Anthropic的Claude Mythos预览版发现了271个漏洞在Mozilla的Firefox浏览器中。


研究人员将AI代理与模糊测试工具进行比较,这些工具用于测试软件缺陷。然而,与模糊测试工具不同,AI代理可以生成漏洞报告、评估影响,并创建概念验证测试。


但是详细并不总是意味着正确。AI生成的发现即使在错误的时候也可能看起来令人信服,这使得研究人员需要筛选重复项、假阳性,以及实际上无法利用的漏洞。


“有一条规则比其他任何规则都重要。一个候选项不能被视为发现,直到有一个独立的工件能够重现与真实代码的失败,并且是为没有编写它的人运行的,”研究人员写道。“重现者不阅读写作内容,也不在乎模型听起来有多自信。它要么运行要么不运行。”


AI工具已经帮助安全研究人员发现区块链网络中的缺陷。


在五月,安全研究员Taylor Hornby在AI辅助审计期间使用了Anthropic的Claude Opus 4.8,发现了Zcash的Orchard隐私池中的一个关键漏洞。该缺陷存在了大约四年,并可能允许攻击者创建伪造ZEC,而没有明显的链上痕迹。为恢复对Zcash供应的信心而进行的网络升级仍在进行中。


以太坊基金会的实验将技术引入内部,使用AI代理测试自己的代码以查找漏洞。


“AI没有取代安全研究人员。它转移了工作,”以太坊基金会表示。“代理让我们能够覆盖远比手动操作更广泛的范围。作为交换,他们要求在一大堆听起来自信的主张中进行更谨慎的判断。”


“这是一个值得做的交易,”他们补充道,“只要你记住判断是真正的产品。”


免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接