以太坊基金会利用AI发现验证节点漏洞:AI能找Bug,但人类仍需辨别“幻觉”

PANews 7月11日消息,据CoinDesk报道,以太坊基金会近日披露,其安全团队利用AI代理对以太坊验证节点运行的软件展开测试,并成功发现一个可被远程触发、导致节点崩溃的漏洞。不过,研究人员强调,在AI生成的大量安全报告中,人工审核仍是区分真实漏洞与误报的关键环节。

此次发现的漏洞存在于以太坊网络消息传播协议gossipsub中。攻击者可远程触发节点软件进入异常计算状态,导致程序崩溃并关闭,使验证节点离线,直至运营者手动重启。该漏洞随后已被修复,并被登记为编号为“CVE-2026-34219”的安全漏洞。

以太坊基金会协议安全团队成员Nikos Baxevanis表示,真正令人意外的并非AI发现漏洞的能力,而是团队花费了大量时间去辨别哪些漏洞真实存在,哪些只是看似可信的“幻觉”。与传统模糊测试工具(Fuzzer)直接输出崩溃位置不同,AI代理会自动生成完整叙事,包括漏洞成因、影响分析、严重程度评估以及攻击演示代码。然而,无论漏洞真实存在还是纯属虚构,这些报告通常都以流畅且令人信服的方式呈现。

以太坊基金会总结了三类最常见的误报情况:一是仅在测试环境中才会触发的崩溃;二是必须通过手动修改程序数据才能实现的攻击路径;三是在形式化验证过程中,仅证明了无实际意义的数学结论,而未能验证代码本身的安全性。

此外,研究人员指出,AI目前更擅长分析单一事件,却难以识别由多个看似正常步骤组合而成的复杂攻击链,而这正是今年许多DeFi攻击的典型特征。例如,本月Edel Finance遭攻击事件利用封装层绕过了准确的Chainlink价格预言机,而BONK治理攻击中,买入代币、发起投票和执行提案等单个操作本身均属正常行为,但其组合最终导致恶意结果。

以太坊基金会表示,未来将继续利用AI代理辅助发现潜在风险,但对于涉及复杂攻击路径的场景,仍需要通过人工设计和执行测试来验证AI提出的假设。

分享至:

作者:PA一线

本内容只为提供市场信息,不构成投资建议。

关注PANews官方账号,一起穿越牛熊
PANews APP
巴西加密监管升级:“玛雅面纱行动”打击87家空壳公司洗钱网络
PANews 快讯