以太坊基金會協議安全團隊於週四在部落格文章中披露,部署了人工智慧代理來測試關鍵的網路基礎設施。這些代理發現了多個漏洞,包括在 Github 上披露的 libp2p 的 gossipsub 遠端觸發恐慌漏洞,編號為 CVE-2026-34219。這次由 AI 協助的安全測試代表了基金會採用紅隊演練的做法,即組織攻擊自身系統以在惡意駭客利用之前識別弱點。
以太坊基金會部署專業化的 AI 代理角色
以太坊基金會將 AI 代理組成專門角色,包括偵察、搜尋、填補空隙和驗證。有些代理負責尋找可能的攻擊路徑,而另一些則試圖重現失敗並驗證其是否適用於生產代碼。這些代理測試了系統軟體、加密代碼以及以太坊網路依賴的智能合約。
研究人員表示,代理發現漏洞並不令人驚訝,但工作分配才是重點。「令人驚訝的是,找到漏洞的工作量很少,而判斷哪些是真正的漏洞則佔了大部分,」團隊在部落格文章中指出。
AI 代理發現 libp2p 漏洞 CVE-2026-34219
其中一個由 AI 代理發現的漏洞是 libp2p 的 gossipsub 遠端觸發恐慌,這是以太坊共識客戶端所使用的點對點層(peer-to-peer layer)的一部分。以太坊基金會修復了此問題,並在 Github 上披露為 CVE-2026-34219。
基金會將 AI 代理比作模糊測試器(fuzzers),這些工具用於測試軟體缺陷。不同的是,AI 代理能生成漏洞報告、評估影響並建立概念驗證測試。研究人員建立了一個驗證規則:「候選漏洞在沒有能獨立重現失敗的實體且能在非撰寫者的環境中運行的情況下,不算作發現。」
Anthropic 的 Claude 模型揭露 Firefox 和 Zcash 缺陷
Anthropic 的 Claude Mythos 在四月發現 Mozilla Firefox 瀏覽器中的 271 個漏洞。安全研究員 Taylor Hornby 在五月使用 Anthropic 的 Claude Opus 4.8 進行 AI 協助的審計,並發現 Zcash 的 Orchard 隱私池存在一個嚴重漏洞。
該 Zcash 缺陷存在約四年,可能讓攻擊者製造偽造的 ZEC,且無明顯的鏈上追蹤。據消息來源,正有一個網路升級計畫以恢復對 Zcash 供應的信心。
人類研究人員驗證 AI 產生的安全發現
AI 產生的發現有時會看起來令人信服,即使其實是錯誤的,這就需要研究人員篩選重複、誤報以及實際無法利用的漏洞。以太坊基金會的研究人員表示,詳細的發現並不一定代表正確。
「AI 並沒有取代安全研究人員,它只是移動了工作量,」以太坊基金會表示。「代理讓我們能覆蓋比手工更多的範圍,但也需要更謹慎的判斷,因為大量聽起來可信的聲稱需要審慎評估。」團隊補充,判斷力才是 AI 協助安全流程中的真正產出。
常見問答(FAQ)
以太坊基金會的 AI 代理在 libp2p 發現了什麼漏洞?
AI 代理發現了 libp2p 的 gossipsub 遠端觸發恐慌,這是以太坊共識客戶端所使用的點對點層(peer-to-peer layer)的一部分。該問題已由以太坊基金會修復並在 Github 上披露為 CVE-2026-34219。
Anthropic 的 Claude Mythos 在 Firefox 中找到多少漏洞?
Anthropic 的 Claude Mythos 在四月發現了 Mozilla Firefox 瀏覽器中的 271 個漏洞,展現 AI 在漏洞研究中的日益重要角色。
AI 代理在以太坊安全測試中扮演什麼角色?
以太坊基金會將 AI 代理組成偵察、搜尋、填補空隙和驗證等專門角色。有些代理負責尋找攻擊路徑,另一些則重現失敗並驗證漏洞是否可被利用。