以人工智能为助力,Ethereum Foundation 在 ETH 网络上寻找漏洞,抢在黑客之前

2 小时前
閱讀 4 分鐘
1 視圖

以太坊基金会的人工智能安全测试

以太坊基金会正在利用一群人工智能代理对以太坊网络进行安全测试,以便在黑客之前发现潜在漏洞。在周四发布的一篇博客文章中,以太坊基金会的协议安全团队研究人员表示,他们已部署了一系列人工智能代理,专门针对以太坊所依赖的软件,寻找加密系统、协议代码和智能合约中的漏洞。研究人员指出:

“我们一直在对网络所依赖的系统(如系统软件、加密代码和必须正确的合约)进行协调的人工智能代理攻击。这些代理成功发现了真实的漏洞。”

发现的漏洞与红队攻击

其中一个发现的漏洞是libp2p的gossipsub中的远程触发恐慌,这是以太坊共识客户端使用的点对点层的一部分。该问题已被修复,并在GitHub上披露为CVE-2026-34219。

这种被称为“红队”的做法,涉及公司部署安全研究人员攻击自己的系统,试图渗透或干扰网络,以在恶意黑客发现之前揭示弱点。在红队攻击系统的同时,蓝队则负责防御。

人工智能代理的优势

传统上,人类研究人员通过手动审查代码来寻找漏洞,但人工智能代理可以扫描整个代码库,测试潜在的攻击,并生成供审查的发现。研究团队表示:

“代理发现漏洞并不是令人惊讶的事情,令人惊讶的是发现漏洞的工作量远小于区分真实漏洞与看似真实漏洞的工作量。”

根据以太坊基金会的说法,这些代理被组织成专门的角色,包括侦察、猎杀、填补漏洞和验证。有些代理搜索可能的攻击路径,而其他代理则尝试重现故障并验证其是否在生产代码中有效。研究人员强调:

“这种架构是有原因的,它强制要求提出特定的、可测试的主张和明确的完成定义。”

人工智能在漏洞研究中的重要性

人工智能在漏洞研究中的日益重要性在四月得到了证明,当时Anthropic的Claude Mythos预览版发现了Mozilla Firefox浏览器中的271个漏洞。研究人员将人工智能代理与模糊测试工具进行比较,后者用于测试软件缺陷。然而,与模糊测试工具不同,人工智能代理可以生成漏洞报告、评估影响并创建概念验证测试。

但详细并不总意味着正确。人工智能生成的发现即使在错误时也可能看起来令人信服,这使得研究人员需要过滤重复项、误报和实际上无法被利用的漏洞。研究人员指出:

“有一条规则比其他任何规则都更重要。一个候选项在没有自包含的工件能够重现真实代码中的故障之前,不算是发现。”

AI辅助审计的成功案例

人工智能工具已经帮助安全研究人员发现区块链网络中的缺陷。今年五月,安全研究人员Taylor Hornby在一次AI辅助审计中使用了Anthropic的Claude Opus 4.8,发现了Zcash的Orchard隐私池中的一个关键漏洞。该漏洞存在了大约四年,可能允许攻击者创建没有明显链上痕迹的伪造ZEC。为了恢复对Zcash供应的信心,网络升级仍在进行中。

以太坊基金会的未来展望

以太坊基金会的实验将这一技术引入内部,利用人工智能代理测试自己的代码以发现漏洞。以太坊基金会表示:

“人工智能并没有取代安全研究人员,而是改变了工作方式。”

代理使我们能够覆盖比手动方式更多的领域。作为交换,它们要求在更大范围内对自信的主张进行更仔细的判断。

他们补充道:

“这是一个值得做的交易,只要你记住判断才是真正的产品。”