Agen AI Ethereum Foundation Menemukan Bug CVE-2026-34219 di Kode libp2p

ETH2,72%

Yayasan Ethereum menerapkan agen AI untuk mengaudit basis kode dan menemukan CVE-2026-34219, sebuah bug yang dapat dipicu dari jarak jauh pada lapisan jaringan gossipsub di libp2p, menurut sebuah posting blog yang diterbitkan pada 9 Juli oleh Nikos Baxevanis dari tim keamanan protokol yayasan tersebut. Pengujian mengungkap bahwa satu agen menghasilkan sekitar 1.000 temuan kandidat, dengan 86% rekomendasi peringkat teratas yang bertahan setelah ditinjau oleh para ahli. Yayasan menyimpulkan bahwa memvalidasi laporan yang dihasilkan AI, alih-alih menemukan bug, merupakan hambatan bottleneck utama dalam audit keamanan berbantuan AI.

Yayasan Ethereum Menemukan Kerentanan Gossipsub yang Kritis

Agen AI memunculkan kepanikan yang dapat dipicu dari jarak jauh di gossipsub, bagian dari lapisan jaringan peer-to-peer libp2p yang dijalankan oleh klien konsensus Ethereum. Cacat tersebut telah diperbaiki dan diungkapkan sebagai CVE-2026-34219. Yayasan mencatat bahwa jika penyerang menemukan kerentanan ini lebih dulu, ia berpotensi mengganggu node-node di seluruh jaringan.

Posting blog berjudul "The triage is the product" menguraikan bagaimana sebagian besar masalah yang ditandai ternyata merupakan false positive meskipun di antaranya terdapat bug yang nyata. Yayasan mendokumentasikan pola berulang dari alarm palsu, termasuk crash yang hanya terjadi pada build debug dan tidak pernah terjadi di produksi, reproducers yang bergantung pada nilai internal yang tidak dapat disuplai oleh penyerang, serta bukti verifikasi formal yang secara teknis benar tetapi begitu tidak dibatasi hingga tidak menunjukkan apa pun.

Yayasan Mengidentifikasi Triage sebagai Bottleneck Utama

Yayasan menyatakan bahwa kejutan itu bukan karena agen AI bisa menemukan bug, melainkan "betapa sedikit pekerjaan yang dilakukan untuk menemukannya, dan betapa banyak pekerjaan yang dilakukan untuk memisahkan bug nyata dari yang hanya tampak nyata." Tim menerapkan standar bukti yang ketat yang dirangkum sebagai "reproducible atau tidak terjadi." Setiap temuan kandidat kini diwajibkan menyertakan artefak yang dapat berdiri sendiri untuk mereproduksi kegagalan terhadap kode yang benar-benar digunakan, terlepas dari seberapa yakin agen pelapor mengklaim.

Yayasan menggambarkan agen sebagai pembangkit hipotesis yang disusun ke tahap recon, hunting, gap-filling, dan validation, dengan manusia yang membuat keputusan akhir. Beban kerja tidak hilang, tetapi berpindah ke hilir menuju triage, di mana insinyur berpengalaman memisahkan sinyal dari simulasi.

Agen AI Mencapai Tingkat Validasi 86% dalam Pengujian

Posting blog menyajikan data tolok ukur untuk performa alat generasi saat ini. Agen pengujian berbasis properti menghasilkan sekitar 1.000 temuan kandidat. Setelah ditinjau oleh para ahli, sekitar 86% rekomendasi peringkat teratasnya lolos dari pengawasan. Yayasan mencatat bahwa tingkat ini kuat untuk sebuah mesin, tetapi tetap membutuhkan penyaringan manusia sebelum apa pun menyentuh kode produksi.

Alat-alat tersebut menemukan kerentanan nyata di infrastruktur kritis, sekaligus menyingkirkan anggapan bahwa laporan bug yang dihasilkan AI hanyalah kebisingan. Untuk sebuah jaringan yang mengamankan nilai senilai ratusan miliar dolar, penyaringan validasi manusia tetap menjadi hal yang esensial.

Program Dukungan Ekosistem Membiayai Hibah Keamanan AI

Yayasan memperlakukan pekerjaan ini sebagai inisiatif berkelanjutan alih-alih eksperimen sekali jalan. Program Dukungan Ekosistemnya mendanai putaran hibah khusus untuk keamanan protokol bertenaga AI, mencakup riset, audit, dan deteksi kerentanan.

FAQ

Kerentanan apa yang ditemukan oleh agen AI Yayasan Ethereum?
Agen AI menemukan CVE-2026-34219, sebuah bug yang dapat dipicu dari jarak jauh pada lapisan jaringan gossipsub milik libp2p yang digunakan oleh klien konsensus Ethereum. Cacat tersebut telah diperbaiki dan diungkapkan setelah penemuan.

Berapa banyak temuan kandidat yang dihasilkan oleh agen AI?
Satu agen pengujian berbasis properti menghasilkan sekitar 1.000 temuan kandidat, dengan sekitar 86% rekomendasi peringkat teratas yang bertahan setelah ditinjau oleh tim keamanan yayasan.

Apa kesimpulan Yayasan Ethereum tentang audit keamanan berbantuan AI?
Yayasan menyimpulkan bahwa triage dan validasi terhadap laporan yang dihasilkan AI, alih-alih penemuan bug itu sendiri, merupakan hambatan bottleneck utama dalam audit keamanan berbantuan AI.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar