Telegram (AI) YouTube Facebook X
En
уязвимости абстракции учетной записи в Ethereum

Ethereum Foundation использовала ИИ-агентов для поиска багов в протоколе

Команда Protocol Security в составе Ethereum Foundation (EF) запустила координированных ИИ-агентов против критических компонентов инфраструктуры блокчейна. Они проверяли системное ПО, криптографический код и смарт-контракты.

«Агенты находят баги — это не было сюрпризом. Сюрпризом оказалось то, как мало работы ушло на их поиск и как много — на отделение реальных багов от тех, что лишь выглядели реальными», — заявили в EF.

В команде подчеркнули, что ИИ не убрал людей из процесса проверки безопасности. Он лишь сместил узкое место: раньше исследователи тратили много времени на поиск гипотез, теперь — на проверку большого числа сгенерированных кандидатов.

Как устроена система

Protocol Security отказалась от схемы, в которой один большой ИИ-агент управляет всем процессом. Вместо этого команда использовала несколько специализированных систем, которые параллельно работают против одного репозитория. Одни отвечали за первичную разведку кода, другие — за поиск потенциальных уязвимостей, заполнение пробелов и валидацию. Они координируются через общий репозиторий и обмениваются состоянием через систему контроля версий.

«Время, которое раньше уходило на формирование и проверку гипотез, теперь уходит на их оценку в масштабе: построение оракула, триаж, ведение списка известных проблем и раскрытие», — написали в EF.

По словам исследователей, агенты хорошо подходят для генерации направлений поиска. Они могут быстро просматривать большие участки кода, трассировать пути исполнения и готовить материалы для proof-of-concept. Но каждый кандидат все равно должен быть независимо воспроизведен на реальном коде, прежде чем его можно считать уязвимостью.

Что нашли агенты

Публично раскрытый пример — уязвимость CVE-2026-34219 в Rust-реализации libp2p gossipsub. Она связана с обработкой backoff expiry — периода, в течение которого узел временно ограничивает взаимодействие с пиром после определенных сетевых сообщений.

Уязвимость позволяла удаленно вызвать аварийное завершение процесса при обработке специально сформированного PRUNE-сообщения с почти максимальным значением backoff. Ошибка возникала из-за непроверенной арифметики при сложении Instant + Duration, что могло приводить к переполнению.

При этом в EF не раскрыли, сколько всего реальных багов обнаружили агенты. В блоге говорится о нескольких находках, но публично назван только один пример.

Журналисты The Block обратили внимание, что большинство найденных ИИ-агентами кандидатов оказались ложноположительными, дублями или проблемами вне рамок проверки. В EF назвали это нормальной частью метода, а не провалом системы.

«Цель в том, чтобы быстро отбрасывать неверные и подкреплять реальные доказательством, с которым трудно спорить», — заявили в организации.

По словам команды, ИИ-агенты хуже справляются с уязвимостями, которые проявляются только через длинную цепочку корректных действий. Такая логика требует не только найти подозрительный фрагмент кода, но и доказать, что вся последовательность состояний действительно достижима.

Публикация EF вышла на фоне проходящей в фонде широкой реорганизации. В июне организация сократила штат на 20% и представила обновленную структуру управления. Одновременно сооснователь Ethereum Виталик Бутерин сообщил, что фонд урезает бюджет примерно на 40%, переходя к модели долгосрочного управления капиталом.

По данным журналиста Колина Ву, расформирована команда Protocol Support. Она занималась координацией процесса разработки протокола Ethereum, включая отслеживание обновлений сети, поддержку EIP, программу Ethereum Protocol Fellowship, а также образовательные, общественные и инфраструктурные инициативы, связанные с этим.

В марте Ethereum Foundation закрепила принцип минимального вмешательства в развитие сети. Позднее организация подготовила план квантовой защиты сети к 2029 году и пересмотрела роль L2-сетей в экосистеме.

Напомним, в июне экс-сотрудник EF Трент Ван Эппс предупредил, что экосистема Ethereum в ближайшие три-девять месяцев может столкнуться с «медленно нарастающим кризисом финансирования».

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Facebook X
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK