มูลนิธิ Ethereum ใช้ AI ในการตรวจสอบความปลอดภัย
มูลนิธิ Ethereum กำลังใช้ กลุ่มตัวแทน AI เพื่อโจมตีเครือข่าย Ethereum ก่อนที่แฮกเกอร์จะทำ ในโพสต์บล็อกเมื่อวันพฤหัสบดี นักวิจัยจากทีมความปลอดภัยของโปรโตคอลของมูลนิธิ Ethereum กล่าวว่า พวกเขาได้ปรับใช้ตัวแทน AI หลายตัวเพื่อตรวจสอบซอฟต์แวร์ที่ Ethereum ขึ้นอยู่กับ โดยค้นหาช่องโหว่ในระบบเข้ารหัส รหัสโปรโตคอล และสัญญาอัจฉริยะ
“เรากำลังใช้ตัวแทน AI ที่ประสานงานกันโจมตีระบบที่เครือข่ายพึ่งพา เช่น ซอฟต์แวร์ระบบ รหัสเข้ารหัส และสัญญาที่ต้องถูกต้อง” นักวิจัยเขียน
ตัวแทนพบข้อบกพร่องจริง หนึ่งในข้อบกพร่องที่ค้นพบรวมถึงการกระตุ้นแบบระยะไกลใน libp2p’s gossipsub ซึ่งเป็นส่วนหนึ่งของชั้น peer-to-peer ที่ใช้โดยลูกค้าคอนเซนซัสของ Ethereum ปัญหานี้ได้รับการแก้ไขและเปิดเผยบน GitHub ในชื่อ CVE-2026-34219
การปฏิบัติที่เรียกว่า Red Teaming
การปฏิบัติที่เรียกว่า red teaming เกี่ยวข้องกับบริษัทที่ปรับใช้ผู้วิจัยด้านความปลอดภัยเพื่อโจมตีระบบของตนเอง พยายามแทรกซึมหรือขัดขวางเครือข่ายเพื่อค้นหาจุดอ่อนก่อนที่แฮกเกอร์ที่มีเจตนาร้ายจะค้นพบ ในขณะที่ทีม red ทำการโจมตีระบบ ทีม blue จะต้องปกป้องมัน
นักวิจัยมนุษย์มักค้นหาช่องโหว่โดยการตรวจสอบรหัสด้วยตนเอง แต่ตัวแทน AI สามารถสแกนฐานรหัสทั้งหมด ทดสอบการโจมตีที่อาจเกิดขึ้น และสร้างผลการตรวจสอบ
“การที่ตัวแทนพบข้อบกพร่องไม่ใช่เรื่องน่าประหลาดใจ” ทีมงานเขียน “สิ่งที่น่าประหลาดใจคือปริมาณงานที่ใช้ในการค้นหาพวกมันน้อยเพียงใด และมีมากเพียงใดในการบอกข้อบกพร่องที่แท้จริงจากข้อบกพร่องที่ดูเหมือนจริง”
บทบาทของ AI ในการวิจัยช่องโหว่
ตามที่มูลนิธิ Ethereum ตัวแทนถูกจัดระเบียบเป็นบทบาทเฉพาะ รวมถึงการสอดแนม การล่า การเติมช่องว่าง และการตรวจสอบ บางคนค้นหาทางโจมตีที่เป็นไปได้ ในขณะที่คนอื่นพยายามทำซ้ำความล้มเหลวและตรวจสอบว่ามันทำงานกับรหัสการผลิตหรือไม่
“โครงสร้างมีอยู่เพื่อเหตุผล” พวกเขาเขียน “มันบังคับให้มีการอ้างสิทธิ์ที่เฉพาะเจาะจงและสามารถทดสอบได้ และการกำหนดความสำเร็จที่ชัดเจน ตัวแทนที่ต้องเขียนหลักฐานที่สังเกตได้ไม่สามารถถอยกลับไปที่ ‘นี่ดูเสี่ยง'”
บทบาทที่เพิ่มขึ้นของ AI ในการวิจัยช่องโหว่ได้รับการแสดงให้เห็นในเดือนเมษายน เมื่อเวอร์ชันพรีวิวของ Claude Mythos ของ Anthropic ค้นพบช่องโหว่ 271 รายการในเบราว์เซอร์ Firefox ของ Mozilla นักวิจัยเปรียบเทียบตัวแทน AI กับ fuzzers หรือเครื่องมือที่ทดสอบซอฟต์แวร์เพื่อหาข้อบกพร่อง
อย่างไรก็ตาม แตกต่างจาก fuzzers ตัวแทน AI สามารถสร้างรายงานช่องโหว่ ประเมินผลกระทบ และสร้างการทดสอบ proof-of-concept แต่รายละเอียดไม่ได้หมายความว่าถูกต้องเสมอไป ผลการสร้างโดย AI อาจดูน่าเชื่อถือแม้ว่าจะผิดก็ตาม ทำให้ผู้วิจัยต้องกรองข้อมูลซ้ำ ข้อผิดพลาดเชิงบวก และช่องโหว่ที่ไม่สามารถถูกใช้ประโยชน์ได้
“กฎหนึ่งมีความสำคัญมากกว่ากฎอื่น ๆ ผู้สมัครไม่ใช่การค้นพบจนกว่าจะมีวัตถุที่เป็นอิสระที่ทำซ้ำความล้มเหลวต่อรหัสจริง และทำงานสำหรับคนที่ไม่ได้เขียนมัน” นักวิจัยเขียน
การค้นพบข้อบกพร่องในเครือข่ายบล็อกเชน
เครื่องมือ AI ได้ช่วยนักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องในเครือข่ายบล็อกเชนแล้ว ในเดือนพฤษภาคม นักวิจัยด้านความปลอดภัย Taylor Hornby ใช้ Claude Opus 4.8 ของ Anthropic ในระหว่างการตรวจสอบที่ช่วยด้วย AI ซึ่งพบช่องโหว่ที่สำคัญในสระความเป็นส่วนตัว Orchard ของ Zcash ข้อบกพร่องนี้มีอยู่ประมาณสี่ปีและอาจอนุญาตให้ผู้โจมตีสร้าง ZEC ปลอมโดยไม่มีร่องรอยที่ชัดเจนบนเชน
การอัปเกรดเครือข่ายเพื่อฟื้นฟูความเชื่อมั่นในซัพพลายของ Zcash ยังคงอยู่ในระหว่างดำเนินการ
บทสรุป
การทดลองของมูลนิธิ Ethereum นำเทคโนโลยีเข้ามาในองค์กร โดยใช้ตัวแทน AI เพื่อตรวจสอบรหัสของตนเองเพื่อค้นหาช่องโหว่
“AI ไม่ได้แทนที่นักวิจัยด้านความปลอดภัย แต่มันย้ายงาน” มูลนิธิ Ethereum กล่าว “ตัวแทนช่วยให้เราครอบคลุมพื้นที่มากกว่าที่เราทำได้ด้วยมือ ในทางกลับกัน พวกเขาขอให้เราตัดสินใจอย่างรอบคอบมากขึ้นในกลุ่มข้อเรียกร้องที่ฟังดูมั่นใจมากขึ้น”
“นี่คือการแลกเปลี่ยนที่คุ้มค่า” พวกเขาเสริม “ตราบใดที่คุณจำไว้ว่าการตัดสินใจคือผลิตภัณฑ์ที่แท้จริง”