以太坊基金會表示,人工智能代理正在發現真實的協議漏洞,但人工驗證仍然至關重要
- 以太坊基金會表示,人工智能代理正在幫助發現協議漏洞,但每個發現都需要經過嚴格的人類審查後才能被接受。
- 需要可複現的概念驗證漏洞利用來確認漏洞,並排除人工智能分析過程中產生的誤報。
- 以太坊基金會補充稱,人工智能將安全研究從尋找漏洞轉變為驗證哪些報告的漏洞是真實且值得披露的。
以太坊基金會(EF)週四表示,人工智能(AI)正日益成為識別以太坊協議軟體漏洞的有效工具。
以太坊基金會利用人工智能發現協議漏洞
基金會的協議安全團隊在一篇部落格文章中詳細介紹了其如何部署協調的人工智能代理來審計關鍵的以太坊基礎設施,包括系統軟體、加密代碼和智能合約。
一個例子是libp2p的Gossipsub網路協議中可遠端觸發的panic,該協議是以太坊共識客戶端使用的核心組件。該問題已被修補並公開披露為CVE-2026-34219,協議安全團隊獲得了相應的認可。
然而,基金會指出,發現漏洞本身並不是最大的驚喜。
"令人驚訝的是,花在發現漏洞上的工作很少,而花在區分真實漏洞和偽裝漏洞上的工作卻很多,"以太坊基金會寫道。
基金會將人工智能代理比作模糊測試工具。傳統模糊測試器通常產生崩潰和堆疊追蹤,而人工智能代理則生成更為詳細的輸出,包括漏洞報告、潛在利用路徑、嚴重性評估和概念驗證代碼。
儘管如此,組織警告稱,人工智能生成的漏洞數量不應被視為成功的衡量標準。
"所以不要計算代理產生了多少候選漏洞,要計算有多少是真實的,"基金會寫道。
為了提高可靠性,協議安全團隊同時運行多個人工智能代理針對同一代碼庫,分配它們專門的任務,如偵察、漏洞挖掘、驗證和覆蓋率分析。
代理們不依賴中央協調者,而是透過共享代碼庫和版本控制進行協作,允許每個代理在其他代理的工作基礎上構建,同時獨立驗證發現。
基金會表示,除非能夠使用針對實際生產代碼運行的自包含概念驗證漏洞利用複現,否則不會認為安全問題有效,而非在人工測試環境中。
部落格強調了幾種常見的誤報來源,包括僅在除錯版本中發生的崩潰、基於不可能執行路徑的概念驗證漏洞利用,以及形式驗證證明技術上通過但未能驗證預期安全屬性的情況。
以太坊基金會指出,大多數人工智能生成的發現最終被證明是錯誤的、重複的或超出審計預期範圍。每個存活的候選漏洞都經過獨立驗證,以確定其是否具有現實可利用性以及潛在影響是否值得進一步調查或披露。
雖然人工智能使研究人員能夠審查比人工審查更多的代碼,但以太坊基金會強調,人類監督仍然是決定哪些發現是真實的、哪些應最終採取行動的關鍵因素。









