Фонд Ethereum використовує AI для виявлення вразливостей: успішно виявлено недолік безпеки, заявляють, що ручна перевірка все ще не може бути замінена

robot
Генерація анотацій у процесі

BlockBeats повідомлення, 11 липня, Фонд Ethereum розкрив, що його командa з безпеки протоколів використовувала AI-агенти для автоматизованого пошуку вразливостей у програмному забезпеченні клієнта Ethereum з метою підвищення мережевої безпеки. Під час тестування AI успішно виявив уразливість у протоколі поширення повідомлень Gossipsub, яка дозволяє віддаленим атакам спричинити аварійне завершення вузлової програми, через що вузол валідатора переходить в офлайн. Наразі вразливість виправлено та зареєстровано як CVE-2026-34219.

Однак Фонд Ethereum зазначив, що найбільший виклик для AI полягає не в пошуку вразливостей, а в розрізненні справжніх вразливостей і хибних спрацьовувань. AI не лише генерує описи вразливостей, аналіз впливу та атакуючий код, а й може надавати такі, що виглядають переконливо, але яких насправді не існує проблеми, тому все ще потрібна ретельна перевірка з боку фахівців з безпеки. Фонд підсумував три типи поширених хибних спрацьовувань, зокрема збої, що з’являються лише в тестовому середовищі, атакуючі шляхи, які неможливо використати в реальному середовищі, а також недійсні докази у формалізованій верифікації.

Крім того, Фонд Ethereum вважає, що на сьогодні AI краще справляється з аналізом окремих проблем у коді, але його можливості щодо виявлення складних атак із поєднанням кількох законних операцій є все ще обмеженими, а саме такі атаки були головною причиною атак на кілька криптопротоколів цього року. У майбутньому Фонд Ethereum планує залучити AI для допомоги у генеруванні потенційних атакуючих шляхів, а потім поєднати це з ручними та автоматизованими тестами для перевірки, щоб ще більше підвищити ефективність і точність виявлення вразливостей.

ETH2,34%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено