
Ethereum Foundation использовала ИИ-агентов для поиска багов в протоколе
Команда Protocol Security в составе Ethereum Foundation (EF) запустила координированных ИИ-агентов против критических компонентов инфраструктуры блокчейна. Они проверяли системное ПО, криптографический код и смарт-контракты.
The Protocol Security Team has been pointing AI agents at Ethereum’s protocol code. Our core takeaway wasn't about finding bugs, it was about triage.
— Ethereum Foundation (@ethereumfndn) July 9, 2026
Here are field notes from the work.https://t.co/HVtc8XcrJK
«Агенты находят баги — это не было сюрпризом. Сюрпризом оказалось то, как мало работы ушло на их поиск и как много — на отделение реальных багов от тех, что лишь выглядели реальными», — заявили в EF.
В команде подчеркнули, что ИИ не убрал людей из процесса проверки безопасности. Он лишь сместил узкое место: раньше исследователи тратили много времени на поиск гипотез, теперь — на проверку большого числа сгенерированных кандидатов.
Как устроена система
Protocol Security отказалась от схемы, в которой один большой ИИ-агент управляет всем процессом. Вместо этого команда использовала несколько специализированных систем, которые параллельно работают против одного репозитория. Одни отвечали за первичную разведку кода, другие — за поиск потенциальных уязвимостей, заполнение пробелов и валидацию. Они координируются через общий репозиторий и обмениваются состоянием через систему контроля версий.
«Время, которое раньше уходило на формирование и проверку гипотез, теперь уходит на их оценку в масштабе: построение оракула, триаж, ведение списка известных проблем и раскрытие», — написали в EF.
По словам исследователей, агенты хорошо подходят для генерации направлений поиска. Они могут быстро просматривать большие участки кода, трассировать пути исполнения и готовить материалы для proof-of-concept. Но каждый кандидат все равно должен быть независимо воспроизведен на реальном коде, прежде чем его можно считать уязвимостью.
Что нашли агенты
Публично раскрытый пример — уязвимость CVE-2026-34219 в Rust-реализации libp2p gossipsub. Она связана с обработкой backoff expiry — периода, в течение которого узел временно ограничивает взаимодействие с пиром после определенных сетевых сообщений.
Уязвимость позволяла удаленно вызвать аварийное завершение процесса при обработке специально сформированного PRUNE-сообщения с почти максимальным значением backoff. Ошибка возникала из-за непроверенной арифметики при сложении Instant + Duration, что могло приводить к переполнению.
При этом в EF не раскрыли, сколько всего реальных багов обнаружили агенты. В блоге говорится о нескольких находках, но публично назван только один пример.
Журналисты The Block обратили внимание, что большинство найденных ИИ-агентами кандидатов оказались ложноположительными, дублями или проблемами вне рамок проверки. В EF назвали это нормальной частью метода, а не провалом системы.
«Цель в том, чтобы быстро отбрасывать неверные и подкреплять реальные доказательством, с которым трудно спорить», — заявили в организации.
По словам команды, ИИ-агенты хуже справляются с уязвимостями, которые проявляются только через длинную цепочку корректных действий. Такая логика требует не только найти подозрительный фрагмент кода, но и доказать, что вся последовательность состояний действительно достижима.
Публикация EF вышла на фоне проходящей в фонде широкой реорганизации. В июне организация сократила штат на 20% и представила обновленную структуру управления. Одновременно сооснователь Ethereum Виталик Бутерин сообщил, что фонд урезает бюджет примерно на 40%, переходя к модели долгосрочного управления капиталом.
По данным журналиста Колина Ву, расформирована команда Protocol Support. Она занималась координацией процесса разработки протокола Ethereum, включая отслеживание обновлений сети, поддержку EIP, программу Ethereum Protocol Fellowship, а также образовательные, общественные и инфраструктурные инициативы, связанные с этим.
В марте Ethereum Foundation закрепила принцип минимального вмешательства в развитие сети. Позднее организация подготовила план квантовой защиты сети к 2029 году и пересмотрела роль L2-сетей в экосистеме.
Напомним, в июне экс-сотрудник EF Трент Ван Эппс предупредил, что экосистема Ethereum в ближайшие три-девять месяцев может столкнуться с «медленно нарастающим кризисом финансирования».