PANews 7月11日消息,據CoinDesk報道,以太坊基金會近日披露,其安全團隊利用AI代理對以太坊驗證節點運行的軟體展開測試,並成功發現一個可被遠程觸發、導致節點崩潰的漏洞。不過,研究人員強調,在AI生成的大量安全報告中,人工審核仍是區分真實漏洞與誤報的關鍵環節。
此次發現的漏洞存在於以太坊網絡訊息傳播協議gossipsub中。攻擊者可遠程觸發節點軟體進入異常計算狀態,導致程式崩潰並關閉,使驗證節點離線,直至運營者手動重啟。該漏洞隨後已被修復,並被登記為編號為“CVE-2026-34219”的安全漏洞。
以太坊基金會協議安全團隊成員Nikos Baxevanis表示,真正令人意外的並非AI發現漏洞的能力,而是團隊花費了大量時間去辨別哪些漏洞真實存在,哪些只是看似可信的“幻覺”。與傳統模糊測試工具(Fuzzer)直接輸出崩潰位置不同,AI代理會自動生成完整敘事,包括漏洞成因、影響分析、嚴重程度評估以及攻擊演示程式碼。然而,無論漏洞真實存在還是純屬虛構,這些報告通常都以流暢且令人信服的方式呈現。
以太坊基金會總結了三類最常見的誤報情況:一是僅在測試環境中才會觸發的崩潰;二是必須通過手動修改程式數據才能實現的攻擊路徑;三是在形式化驗證過程中,僅證明了無實際意義的數學結論,而未能驗證程式碼本身的安全性。
此外,研究人員指出,AI目前更擅長分析單一事件,卻難以識別由多個看似正常步驟組合而成的複雜攻擊鏈,而這正是今年許多DeFi攻擊的典型特徵。例如,本月Edel Finance遭攻擊事件利用封裝層繞過了準確的Chainlink價格預言機,而BONK治理攻擊中,買入代幣、發起投票和執行提案等單個操作本身均屬正常行為,但其組合最終導致惡意結果。
以太坊基金會表示,未來將繼續利用AI代理輔助發現潛在風險,但對於涉及複雜攻擊路徑的場景,仍需要通過人工設計和執行測試來驗證AI提出的假設。



