Команда Protocol Security Фонда Ethereum развернула скоординированный парк ИИ-агентов для поиска уязвимостей в критически важном коде протоколов. Усилия успешно выявили реальные проблемы безопасности, включая панику, которую можно вызвать удалённо, в библиотеке libp2p gossipsub, лежащей в основе пиринговых коммуникаций Ethereum. Исследователи безопасности всё чаще используют искусственный интеллект как инструмент для защиты инфраструктуры блокчейна: подход Фонда Ethereum демонстрирует и возможности, и ограничения работы по безопасности с помощью ИИ.
ИИ-агенты выявляют панику, которую можно вызвать удалённо, в библиотеке libp2p gossipsub
Скоординированный парк ИИ-агентов обнаружил панику, которую можно вызвать удалённо, в библиотеке libp2p gossipsub — критически важном компоненте инфраструктуры пиринговых коммуникаций Ethereum. Конкретная уязвимость устранена и публично раскрыта как CVE-2026-34219. Открытие демонстрирует способность ИИ-агентов выявлять реальные проблемы безопасности в сложном коде протоколов.
Сложность трииажа меняет процесс работы безопасности: от обнаружения к верификации
Команда Protocol Security Фонда Ethereum сообщила, что самая сложная часть работы по безопасности с ИИ — не поиск потенциальных багов, а скрупулёзный трииаж, чтобы отделить реальные проблемы от ложных срабатываний. По словам команды, «Нахождение багов агентами не было неожиданностью. Неожиданностью было то, насколько мало усилий уходило на то, чтобы их найти, и насколько много — на то, чтобы отличать реальные баги от тех, что просто выглядели правдоподобно». Команда заявила, что ИИ не заменял исследователя безопасности, а переносил работу: время, которое раньше уходило на разработку и преследование гипотез, теперь направляется на их оценку в масштабе. Это включает построение оракула, запуск трииажа, ведение списка известных проблем и обработку раскрытия. Узкое место сместилось с поиска багов на доверие к результатам, и команда отмечает это как более удачную точку, где ограничение наиболее оправдано, потому что именно на этом этапе важнее всего человеческое суждение.
Мультиагентная система распределяет роли для разведки и валидации
ИИ-агенты были организованы по конкретным ролям: разведка, поиск, восполнение пробелов и независимая валидация. Для каждой кандидатной уязвимости требовалось воспроизводимое доказательство на реальном коде. Такой подход показывает, как ИИ может расширять покрытие сложных систем, при этом человеческое суждение остаётся необходимым для верификации.
FAQ
Какую уязвимость обнаружили ИИ-агенты Фонда Ethereum в коде протокола?
ИИ-агенты выявили панику, которую можно вызвать удалённо, в библиотеке libp2p gossipsub, лежащей в основе пиринговых коммуникаций Ethereum. Проблема устранена и публично раскрыта как CVE-2026-34219.
Какова главная сложность при использовании ИИ-агентов для исследований безопасности, по версии Фонда Ethereum?
Команда Protocol Security Фонда Ethereum сообщила, что самая сложная часть — не поиск потенциальных багов, а скрупулёзный трииаж, чтобы отделить реальные проблемы от ложных срабатываний. Команда заявила, что узкое место сместилось с поиска багов на доверие к результатам: теперь время уходит на оценку гипотез в масштабе, построение оракула, проведение трииажа, ведение списков известных проблем и обработку раскрытия.
Как были организованы ИИ-агенты в усилиях Фонда Ethereum по безопасности?
Агенты были организованы по конкретным ролям: разведка, поиск, восполнение пробелов и независимая валидация, при этом для каждой кандидатной уязвимости требовалось воспроизводимое доказательство на реальном коде.