以太坊基金会表示,人工智能代理正在发现真实的协议漏洞,但人工验证仍然至关重要

来源 Fxstreet
  • 以太坊基金会表示,人工智能代理正在帮助发现协议漏洞,但每个发现都需要经过严格的人类审查后才能被接受。
  • 需要可复现的概念验证漏洞利用来确认漏洞,并排除人工智能分析过程中产生的误报。
  • 以太坊基金会补充称,人工智能将安全研究从寻找漏洞转变为验证哪些报告的漏洞是真实且值得披露的。

以太坊基金会(EF)周四表示,人工智能(AI)正日益成为识别以太坊协议软件漏洞的有效工具。

以太坊基金会利用人工智能发现协议漏洞

基金会的协议安全团队在一篇博客文章中详细介绍了其如何部署协调的人工智能代理来审计关键的以太坊基础设施,包括系统软件、加密代码和智能合约。

一个例子是libp2p的Gossipsub网络协议中可远程触发的panic,该协议是以太坊共识客户端使用的核心组件。该问题已被修补并公开披露为CVE-2026-34219,协议安全团队获得了相应的认可。

然而,基金会指出,发现漏洞本身并不是最大的惊喜。

“令人惊讶的是,花在发现漏洞上的工作很少,而花在区分真实漏洞和伪装漏洞上的工作却很多,”以太坊基金会写道。

基金会将人工智能代理比作模糊测试工具。传统模糊测试器通常产生崩溃和堆栈跟踪,而人工智能代理则生成更为详细的输出,包括漏洞报告、潜在利用路径、严重性评估和概念验证代码。

尽管如此,组织警告称,人工智能生成的漏洞数量不应被视为成功的衡量标准。

“所以不要计算代理产生了多少候选漏洞,要计算有多少是真实的,”基金会写道。

为了提高可靠性,协议安全团队同时运行多个人工智能代理针对同一代码库,分配它们专门的任务,如侦察、漏洞挖掘、验证和覆盖率分析。

代理们不依赖中央协调者,而是通过共享代码库和版本控制进行协作,允许每个代理在其他代理的工作基础上构建,同时独立验证发现。

基金会表示,除非能够使用针对实际生产代码运行的自包含概念验证漏洞利用复现,否则不会认为安全问题有效,而非在人工测试环境中。

博客强调了几种常见的误报来源,包括仅在调试版本中发生的崩溃、基于不可能执行路径的概念验证漏洞利用,以及形式验证证明技术上通过但未能验证预期安全属性的情况。

以太坊基金会指出,大多数人工智能生成的发现最终被证明是错误的、重复的或超出审计预期范围。每个存活的候选漏洞都经过独立验证,以确定其是否具有现实可利用性以及潜在影响是否值得进一步调查或披露。

虽然人工智能使研究人员能够审查比人工审查更多的代码,但以太坊基金会强调,人类监督仍然是决定哪些发现是真实的、哪些应最终采取行动的关键因素。

免责声明:仅供参考。 过去的表现并不预示未来的结果。
goTop
quote