tradingkey.logo
搜尋

以太坊基金會表示,人工智能代理正在發現真實的協議漏洞,但人工驗證仍然至關重要

FXStreet2026年7月10日 04:26
facebooktwitterlinkedin
  • 以太坊基金會表示,人工智能代理正在幫助發現協議漏洞,但每個發現都需要經過嚴格的人類審查後才能被接受。
  • 需要可複現的概念驗證漏洞利用來確認漏洞,並排除人工智能分析過程中產生的誤報。
  • 以太坊基金會補充稱,人工智能將安全研究從尋找漏洞轉變為驗證哪些報告的漏洞是真實且值得披露的。

以太坊基金會(EF)週四表示,人工智能(AI)正日益成為識別以太坊協議軟體漏洞的有效工具。

以太坊基金會利用人工智能發現協議漏洞

基金會的協議安全團隊在一篇部落格文章中詳細介紹了其如何部署協調的人工智能代理來審計關鍵的以太坊基礎設施,包括系統軟體、加密代碼和智能合約。

一個例子是libp2p的Gossipsub網路協議中可遠端觸發的panic,該協議是以太坊共識客戶端使用的核心組件。該問題已被修補並公開披露為CVE-2026-34219,協議安全團隊獲得了相應的認可。

然而,基金會指出,發現漏洞本身並不是最大的驚喜。

"令人驚訝的是,花在發現漏洞上的工作很少,而花在區分真實漏洞和偽裝漏洞上的工作卻很多,"以太坊基金會寫道。

基金會將人工智能代理比作模糊測試工具。傳統模糊測試器通常產生崩潰和堆疊追蹤,而人工智能代理則生成更為詳細的輸出,包括漏洞報告、潛在利用路徑、嚴重性評估和概念驗證代碼。

儘管如此,組織警告稱,人工智能生成的漏洞數量不應被視為成功的衡量標準。

"所以不要計算代理產生了多少候選漏洞,要計算有多少是真實的,"基金會寫道。

為了提高可靠性,協議安全團隊同時運行多個人工智能代理針對同一代碼庫,分配它們專門的任務,如偵察、漏洞挖掘、驗證和覆蓋率分析。

代理們不依賴中央協調者,而是透過共享代碼庫和版本控制進行協作,允許每個代理在其他代理的工作基礎上構建,同時獨立驗證發現。

基金會表示,除非能夠使用針對實際生產代碼運行的自包含概念驗證漏洞利用複現,否則不會認為安全問題有效,而非在人工測試環境中。

部落格強調了幾種常見的誤報來源,包括僅在除錯版本中發生的崩潰、基於不可能執行路徑的概念驗證漏洞利用,以及形式驗證證明技術上通過但未能驗證預期安全屬性的情況。

以太坊基金會指出,大多數人工智能生成的發現最終被證明是錯誤的、重複的或超出審計預期範圍。每個存活的候選漏洞都經過獨立驗證,以確定其是否具有現實可利用性以及潛在影響是否值得進一步調查或披露。

雖然人工智能使研究人員能夠審查比人工審查更多的代碼,但以太坊基金會強調,人類監督仍然是決定哪些發現是真實的、哪些應最終採取行動的關鍵因素。

免責聲明:本網站提供的資訊僅供教育和參考之用,不應視為財務或投資建議。

推薦文章

tradingkey.logo
* 參考、分析和交易策略由提供商Trading Central提供,觀點基於分析師的獨立評估和判斷,未考慮投資者的投資目標和財務狀況。
風險提示:我們的網站和行動應用程式僅提供關於某些投資產品的一般資訊。Finsights 不提供財務建議或對任何投資產品的推薦,且提供此類資訊不應被解釋為 Finsights 提供財務建議或推薦。
投資產品存在重大投資風險,包括可能損失投資的本金,且可能並不適合所有人。投資產品的過去表現並不代表其未來表現。
Finsights 可能允許第三方廣告商或關聯公司在我們的網站或行動應用程式的任何部分放置或投放廣告,並可能根據您與廣告的互動情況獲得報酬。
© 版權所有: FINSIGHTS MEDIA PTE. LTD. 版權所有