Fundación Ethereum: el cuello de botella de la auditoría de IA ha pasado de detectar vulnerabilidades a verificarlas.

robot
Generación de resúmenes en curso

Wu Shuo informa que el equipo de seguridad del protocolo de la Ethereum Foundation publicó un artículo resumiendo métodos y experiencias sobre el uso de agentes de IA para auditar el código del protocolo de Ethereum. El equipo afirma que los agentes de IA ya han descubierto vulnerabilidades de seguridad reales, incluyendo la vulnerabilidad de bloqueo remoto en libp2p Gossipsub (CVE-2026-34219), pero el principal cuello de botella en la auditoría de seguridad ha pasado de detectar vulnerabilidades a verificar la veracidad de estas.

El artículo sostiene que la IA es más adecuada como herramienta de búsqueda de vulnerabilidades que como juez final, destacándose en la combinación de código y especificaciones para detectar posibles vulnerabilidades, verificar invariantes de seguridad y generar código de reproducción de vulnerabilidades. Sin embargo, también tiende a juzgar erróneamente cadenas de llamadas inalcanzables como alcanzables, exagerar la gravedad de las vulnerabilidades y tiene capacidad limitada para identificar vulnerabilidades que requieren múltiples pasos legítimos en un orden específico. Por lo tanto, el equipo exige que todas las vulnerabilidades candidatas puedan ser reproducidas de forma independiente en código real, y que pasen por verificación independiente y deduplicación, para que finalmente un humano confirme si la vulnerabilidad es válida, si es un reporte duplicado y cuándo debe ser divulgada.

ETH0,81%
Ver original
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • 3
  • 2
  • Compartir
Comentar
Añadir un comentario
Añadir un comentario
GovernanceVotingTug-Of-WarKing
· hace12h
La auditoría de IA encuentra vulnerabilidades rápido; la verificación es la verdadera destreza.
Ver originalResponder0
L2ArbitrageYoungster
· hace12h
El punto clave es que la divulgación oportuna debe ser revisada manualmente; de lo contrario, una divulgación que genere pánico puede causar más daño que la propia vulnerabilidad.
Ver originalResponder0
SoftRugDetective
· hace12h
Ese CVE de libp2p es bastante interesante, el desencadenamiento en múltiples pasos realmente es un viejo problema.
Ver originalResponder0
  • Fijado