Inilabas ng Ethereum Foundation ang AI sa ETH Network upang Maghanap ng mga Bug Bago pa Man ang mga Hacker

2 mga oras nakaraan
3 min na nabasa
1 view

Pagpapakilala sa AI Agents ng Ethereum Foundation

Ang Ethereum Foundation ay gumagamit ng mga grupo ng AI agents upang atakihin ang Ethereum—bago pa man ito gawin ng iba. Sa isang blog post noong Huwebes, sinabi ng mga mananaliksik mula sa Protocol Security team ng Ethereum Foundation na nag-deploy sila ng serye ng AI agents laban sa software na nakasalalay sa Ethereum, na naghahanap ng mga kahinaan sa mga sistemang cryptographic, protocol code, at smart contracts.

“Nagsasagawa kami ng magkakaugnay na AI agents laban sa mga uri ng sistema na nakasalalay ang network, tulad ng software ng sistema, cryptographic code, at mga kontratang dapat ay tama,” isinulat ng mga mananaliksik.

Nakatagpo ang mga agents ng mga totoong bug. Isa sa mga bug na natuklasan ay isang remotely triggered panic sa gossipsub ng libp2p, bahagi ng peer-to-peer layer na ginagamit ng mga Ethereum consensus clients. Ang isyu ay naayos at naihayag sa Github bilang CVE-2026-34219.

Red Teaming at ang Papel ng AI

Kilala bilang red teaming, ang praktis na ito ay kinabibilangan ng mga kumpanya na nag-de-deploy ng mga security researchers upang atakihin ang kanilang sariling mga sistema, sinusubukang makapasok o makagambala sa mga network upang matuklasan ang mga kahinaan bago pa man ito matuklasan ng mga masamang hacker. Habang ang mga red teams ay umaatake sa isang sistema, nasa mga blue teams ang tungkulin na ipagtanggol ito.

Tradisyonal na hinahanap ng mga human researchers ang mga kahinaan sa pamamagitan ng manu-manong pagsusuri ng code—ngunit ang mga AI agents ay maaaring mag-scan ng buong codebases, subukan ang mga potensyal na exploit, at bumuo ng mga natuklasan para sa pagsusuri.

“Ang mga agents na nakatagpo ng mga bug ay hindi ang sorpresa. Ang sorpresa ay kung gaano kaliit ang trabaho na napunta sa paghahanap sa kanila, at kung gaano karami ang napunta sa pagtukoy ng mga totoong bug mula sa mga mukhang totoo lamang.”

Organisasyon ng AI Agents

Ayon sa Ethereum Foundation, ang mga agents ay naka-organisa sa mga espesyal na tungkulin, kabilang ang reconnaissance, hunting, gap-filling, at validation. Ang ilan ay naghahanap ng mga posibleng landas ng atake, habang ang iba ay sumusubok na ulitin ang mga pagkakamali at beripikahin kung gumagana ang mga ito laban sa production code.

“Nandiyan ang schema para sa isang dahilan. Pinipilit nito ang isang tiyak, nasusukat na pahayag at isang malinaw na depinisyon ng tapos na. Ang isang agent na kailangang magsulat ng isang observable proof ay hindi maaaring bumalik sa ‘mukhang mapanganib ito.'”

Pag-unlad ng AI sa Pananaliksik ng Kahinaan

Ang lumalawak na papel ng AI sa pananaliksik ng kahinaan ay ipinakita noong Abril, nang ang isang preview na bersyon ng Anthropic’s Claude Mythos ay nakatuklas ng 271 na kahinaan sa Firefox browser ng Mozilla. Ikinumpara ng mga mananaliksik ang mga AI agents sa fuzzers, o mga tool na sumusubok sa software para sa mga depekto.

Gayunpaman, hindi tulad ng mga fuzzers, ang mga AI agents ay maaaring bumuo ng mga ulat ng kahinaan, suriin ang epekto, at lumikha ng mga proof-of-concept tests. Ngunit ang detalyado ay hindi palaging nangangahulugang tama. Ang mga natuklasan na ginawa ng AI ay maaaring magmukhang kapani-paniwala kahit na mali ang mga ito, na nag-iiwan sa mga mananaliksik upang salain ang mga duplicate, false positives, at mga kahinaan na hindi talaga ma-exploit.

“Isang patakaran ang mas mahalaga kaysa sa iba. Ang isang kandidato ay hindi isang natuklasan hanggang mayroong isang self-contained artifact na muling nag-uulit ng pagkakamali laban sa totoong code, at tumatakbo para sa isang tao na hindi ito isinulat.”

Mga Halimbawa ng AI sa Seguridad

Ang mga AI tools ay nakatulong na sa mga security researchers na matuklasan ang mga depekto sa mga blockchain networks. Noong Mayo, ginamit ng security researcher na si Taylor Hornby ang Claude Opus 4.8 ng Anthropic sa isang AI-assisted audit na nakatuklas ng isang kritikal na kahinaan sa Orchard privacy pool ng Zcash. Ang depekto ay umiral sa loob ng halos apat na taon at maaaring pahintulutan ang isang attacker na lumikha ng counterfeit ZEC nang walang halatang on-chain trace.

Ang isang upgrade sa network upang ibalik ang tiwala sa supply ng Zcash ay nasa proseso pa rin. Ang eksperimento ng Ethereum Foundation ay nagdadala ng teknolohiya sa loob ng bahay, gamit ang mga AI agents upang subukan ang sarili nitong code upang makahanap ng mga kahinaan.

“Hindi pinalitan ng AI ang security researcher. Inilipat nito ang trabaho. Pinapayagan kami ng mga agents na masakop ang mas malawak na saklaw kaysa sa magagawa namin sa kamay. Bilang kapalit, humihingi sila ng mas maingat na paghuhusga, sa isang mas malaking pile ng mga kumpiyansang tunog na pahayag.”

“Iyon ay isang kalakal na sulit gawin,” idinagdag nila, “hanggang sa maalala mong ang paghuhusga ang tunay na produkto.”