La Fundación Ethereum (EF) afirmó el jueves que la inteligencia artificial (IA) se está convirtiendo en una herramienta cada vez más eficaz para identificar vulnerabilidades en el software del protocolo de Ethereum.
El equipo de Seguridad del Protocolo de la Fundación detalló en una entrada de blog cómo ha estado desplegando agentes de IA coordinados para auditar infraestructura crítica de Ethereum, incluidos software de sistemas, código criptográfico y contratos inteligentes.
Un ejemplo es un panic activable de forma remota en el protocolo de red Gossipsub de libp2p, un componente central utilizado por los clientes de consenso de Ethereum. El problema ha sido parcheado desde entonces y divulgado públicamente como CVE-2026-34219, con crédito para el equipo de Seguridad del Protocolo.
Sin embargo, la Fundación señaló que descubrir errores no fue la mayor sorpresa.
"La sorpresa fue lo poco del trabajo que se dedicó a encontrarlos, y lo mucho que se dedicó a distinguir los errores reales de los que solo parecían reales," escribió la EF.
La Fundación comparó los agentes de IA con herramientas de fuzzing. Mientras que los fuzzers tradicionales suelen producir fallos y trazas de pila, los agentes de IA generan resultados mucho más detallados, incluidos informes de vulnerabilidades, posibles rutas de explotación, evaluaciones de gravedad y código de prueba de concepto.
A pesar de ello, la organización advirtió que el número de vulnerabilidades generadas por IA no debe tomarse como una medida de éxito.
"Así que no cuentes cuántos candidatos produce un agente. Cuenta cuántos resultan ser reales," escribió la Fundación.
Para mejorar la fiabilidad, el equipo de Seguridad del Protocolo ejecuta múltiples agentes de IA simultáneamente sobre la misma base de código, asignándoles tareas especializadas como reconocimiento, búsqueda de vulnerabilidades, validación y análisis de cobertura.
En lugar de depender de un coordinador central, los agentes colaboran a través de repositorios compartidos y control de versiones, lo que permite que cada uno se apoye en el trabajo de los demás mientras verifica los hallazgos de forma independiente.
La Fundación afirmó que ningún problema de seguridad se considera válido a menos que pueda reproducirse mediante una prueba de concepto autónoma que se ejecute contra el código real de producción, en lugar de en un entorno de prueba artificial.
La entrada destacó varias fuentes comunes de falsos positivos. Entre ellas se incluyen fallos que solo ocurren en compilaciones de depuración, exploits de prueba de concepto basados en rutas de ejecución imposibles y pruebas de verificación formal que técnicamente se aprueban pero no validan la propiedad de seguridad prevista.
La Fundación Ethereum señaló que la mayoría de los hallazgos generados por IA terminan siendo incorrectos, duplicados o fuera del alcance previsto de una auditoría. Cada candidato que sobrevive pasa por una validación independiente para determinar si es explotable en la práctica y si el posible impacto justifica una investigación o divulgación adicional.
Si bien la IA permite a los investigadores examinar mucho más código que las revisiones manuales por sí solas, la EF destacó que la supervisión humana sigue siendo el factor decisivo para determinar qué hallazgos son genuinos y cuáles deben finalmente ser abordados.