以太坊基金会在其代码上释放了人工智能代理:他们实际上发现了什么

CN
1小时前

主要收获

  • 以太坊基金会的人工智能代理发现了CVE-2026-34219,这是一个可以远程触发的libp2p的gossipsub漏洞。
  • 一名代理产生了大约1000个候选发现,其中86%的顶级选项在专家审查中幸存下来。
  • 基金会在7月9日表示,筛查而不是漏洞发现是瓶颈;人工验证仍然至关重要。

这一实验的详细信息在基金会协议安全团队的尼科斯·巴克斯瓦尼斯于7月9日发布的博客文章中进行了说明,标题同时也是公司的主题,即“筛查是产品”。这些发现引起了广泛关注,因为被标记的主要问题最终被证明是误报(尽管其中确实有真实的漏洞)。

以太坊基金会博客详细说明了近期测试中的误报。

以太坊基金会博客详细说明了近期测试中的误报。

头条发现是非常真实的,因为这些代理帮助揭示了gossipsub中一个可以远程触发的恐慌,这是以太坊共识客户端运行的libp2p点对点网络层的一部分。这个缺陷被修复并披露为CVE-2026-34219(如果首先被攻击者发现,可以用来干扰整个网络的节点)。

基金会表示,令人惊讶的不是人工智能代理能够找到漏洞,而是“找到它们所需的工作量极少,而分辨真实漏洞与看似真实的漏洞所需的工作量却极大。”

团队 catalogued 这些伪装者的重复形状,例如只在调试版本中发生而在生产环境中从不发生的崩溃,依赖于攻击者无法实际提供的无法访问的内部值的重现者,以及在技术上真实但没有约束、因而没有展示任何内容的正式验证证明。

基金会的答案是一个严格的证据标准,归纳为“可重现,否则就没有发生。”进一步说明,每一个候选发现今后都要求附带一个自包含的工件,该工件能够在实际代码上重现失败,而不论报告代理声称的信心有多大。

在这种情况下,代理可以被视为假设生成器(搜索工具,而非决策者),组织成侦察、猎捕、填补空白和验证阶段,由人类作出最终决定。

该博文还为当前一代工具的表现提供了一个罕见的基准。一种基于属性的测试代理生成了大约1000个候选发现,经过专家审查后,约86%的顶级推荐幸存下来(对于机器来说非常强,但仍然在任何进入生产代码之前需要人工过滤的比例)。

这些工具显然正在发现关键基础设施中的真实漏洞,从而削弱了对人工智能生成的漏洞报告全是噪声的否定。然而,工作量并没有消失,而只是转移到了筛查阶段,在那里经验丰富的工程师分离信号与模拟。对于一个保障价值数百亿美元网络的系统来说,这个过滤是重要的。

基金会现在正推进这项工作,而不是将其视为一次性工作。例如,其生态系统支持计划正在资助一个专门针对人工智能驱动的协议安全的赠款轮,涵盖研究、审计和漏洞检测。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接