Quỹ Ethereum phát hiện lỗi thật và nhiều cảnh báo sai trong bài kiểm tra an ninh bằng AI

ETH-0,03%
LINK-0,23%
BONK-2,03%

Quỹ Ethereum gần đây đã triển khai các tác nhân AI để thử nghiệm phần mềm blockchain, phát hiện một lỗ hổng bảo mật thực sự trong khi đồng thời lộ ra một thách thức xác minh mang tính nghiêm trọng. Nhóm Bảo mật Giao thức đã tìm thấy một lỗi thực trong gossipsub, lớp nhắn tin được các ứng dụng khách Ethereum dùng, và lỗi này được công bố là CVE-2026-34219. Bài thử nghiệm cho thấy các tác nhân AI có thể tạo ra những báo cáo lỗ hổng thuyết phục cho các vấn đề không tồn tại, khiến người rà soát phải phân biệt lỗi phần mềm thật với các báo cáo dương tính giả. Mục tiêu của việc thử nghiệm là tăng cường bảo mật cho blockchain lớn nhất theo tổng giá trị bị khóa. Hạ tầng của Ethereum phụ thuộc vào hàng nghìn nút chạy phần mềm mạng, nơi các sự cố nhắn tin có thể làm gián đoạn trình xác thực (validator) ngay cả khi chuỗi tổng thể vẫn hoạt động.

Quỹ Ethereum Phát Hiện Lỗ hổng Gossipsub Thông Qua Thử nghiệm AI

Lỗi được các kỹ sư xác định nằm trong gossipsub, lớp nhắn tin được các ứng dụng khách Ethereum dùng để phân phối thông tin trên toàn mạng. Điểm yếu cho phép một hệ thống từ xa kích hoạt sự cố (crash) trong phần mềm của nút. Khi sự cố xảy ra, nút gặp phải một phép tính bất khả, dừng hoạt động, và đưa validator ngoại tuyến cho đến khi một người vận hành khởi động lại.

Sự cố được khắc phục nhanh chóng và công bố là CVE-2026-34219, đồng thời ghi nhận công lao cho nhóm liên quan. Lỗi có thể làm sập các nút từ xa, ảnh hưởng đến thời gian hoạt động của validator, mức độ tham gia mạng và độ bền của ứng dụng khách. Với các validator, việc ngừng hoạt động dẫn đến bỏ lỡ phần thưởng và rủi ro vận hành.

Nikos Baxevanis, người viết bài đăng của Quỹ, cho biết điều bất ngờ là phần công sức dành cho việc tìm lỗi lại ít hơn nhiều so với công sức để phân biệt lỗi thật với những lỗi chỉ “trông có vẻ đúng”. Quỹ đã công bố ghi chép hiện trường từ quy trình này nhằm phác thảo cách các nhóm khác nên xử lý quy trình bảo mật có hỗ trợ AI.

Các tác nhân AI Tạo ra Ba Nhóm Báo cáo Dương tính giả

Quỹ xác định ba loại dương tính giả liên tục xuất hiện. Loại đầu liên quan đến các sự cố chỉ xảy ra trong bản thử nghiệm, nơi các kiểm tra an toàn của trình biên dịch được bật nhưng sẽ không tồn tại trong phần mềm được phát hành. Trong các trường hợp đó, sự cố được báo cáo không ảnh hưởng đến người dùng thực.

Loại thứ hai liên quan đến các cuộc tấn công chỉ hoạt động nếu giá trị nguy hiểm được chèn thủ công vào bên trong chương trình. Nếu mọi tuyến truy cập bên ngoài đều từ chối giá trị đó trước khi nó chạm đến nhánh mã dễ tổn thương, thì kẻ tấn công từ bên ngoài không thể thực hiện cuộc tấn công. Loại thứ ba xuất phát từ xác minh hình thức (formal verification), nơi một chứng minh được thông qua bằng cách cho thấy điều gì đó hiển nhiên là đúng, nhưng không cung cấp bằng chứng có ý nghĩa rằng phần mềm hoạt động đúng.

Mỗi trường hợp đều tạo ra “vẻ ngoài” của một bài thử nghiệm mà không chứng minh được một vấn đề bảo mật thực. Một tác nhân AI tạo ra một câu chuyện, giải thích cách lỗ hổng có thể bị khai thác, lập luận vì sao điều đó quan trọng, đề xuất mức độ nghiêm trọng, và cung cấp mã hoạt động trông như minh họa được cuộc tấn công. Báo cáo có thể đọc trôi chảy cho dù lỗi là thật hay được bịa ra.

Quỹ Khuyến nghị Quy trình Có hỗ trợ AI cho Nhóm Bảo mật

Quỹ Ethereum cảnh báo rằng các tác nhân AI mạnh hơn ở việc suy luận về một thời điểm đơn lẻ hơn là ở việc nhận diện các lỗi nảy sinh qua một chuỗi các hành động hợp lệ. Điểm yếu này đặc biệt liên quan đến tài chính phi tập trung (DeFi), nơi nhiều cuộc khai thác xuất phát từ một chuỗi các bước bình thường được sắp xếp theo thứ tự gây hại.

Một số cuộc tấn công gần đây phù hợp với mô hình đó. Trong vụ khai thác của Edel Finance, nguồn cấp giá Chainlink chính xác đã bị “lách” thông qua lớp bọc ở phía trên. Trong cuộc tấn công quản trị của BONK, việc mua token, bỏ phiếu và thực thi một đề xuất đã được thông qua đều là các giao dịch bình thường. Lỗ hổng nằm ở cách các hành động đó được kết hợp với nhau.

Quy trình mà Quỹ đề xuất là dùng tác nhân để gợi ý chuỗi nào đáng được thử nghiệm, rồi chạy các bài thử độc lập. Cách tiếp cận này coi AI như một phương tiện để mở rộng phạm vi tìm kiếm các đường tấn công có thể có, chứ không phải là “thẩm phán cuối cùng” về việc lỗ hổng có tồn tại hay không. Kết luận chính là các tác nhân AI có thể mở rộng bề mặt tìm kiếm đồng thời làm tăng nhu cầu về việc xác minh có kỷ luật.

Câu hỏi thường gặp (FAQ)

Quỹ Ethereum đã phát hiện lỗ hổng gì bằng các tác nhân AI?

Quỹ Ethereum đã phát hiện CVE-2026-34219, một lỗi trong gossipsub, lớp nhắn tin được các ứng dụng khách Ethereum dùng. Lỗ hổng cho phép một hệ thống từ xa kích hoạt sự cố trong phần mềm của nút, khiến nút rơi vào một phép tính bất khả, dừng hoạt động và đưa validator ngoại tuyến cho đến khi một người vận hành khởi động lại.

Các tác nhân AI đã tạo ra những loại dương tính giả nào trong quá trình thử nghiệm bảo mật của Ethereum?

Quỹ xác định ba loại dương tính giả: các sự cố chỉ xảy ra trong bản thử nghiệm với các kiểm tra an toàn của trình biên dịch không có trong phần mềm được phát hành; các cuộc tấn công đòi hỏi các giá trị nguy hiểm được chèn thủ công mà các tuyến truy cập bên ngoài sẽ từ chối; và các chứng minh xác minh hình thức vượt qua bằng cách chứng minh điều gì đó hiển nhiên đúng mà không chứng minh được hành vi đúng của phần mềm.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận