Ethereum Foundation : le goulot d'étranglement de l'audit IA est passé de la découverte de vulnérabilités à la vérification de vulnérabilités.

robot
Création du résumé en cours

Wu Shuo a appris que l'équipe de sécurité des protocoles de la Fondation Ethereum a publié un article résumant les méthodes et l'expérience de l'audit du code du protocole Ethereum à l'aide d'agents d'IA. L'équipe a indiqué que les agents d'IA ont déjà découvert des vulnérabilités de sécurité réelles, y compris la vulnérabilité de crash déclenché à distance dans libp2p Gossipsub (CVE-2026-34219), mais que le principal goulot d'étranglement de l'audit de sécurité est passé de la découverte des vulnérabilités à la vérification de leur authenticité.

L'article estime que l'IA est plus adaptée comme outil de recherche de vulnérabilités que comme juge final. Elle excelle à combiner le code et les spécifications pour découvrir des vulnérabilités potentielles, vérifier des invariants de sécurité et générer du code de reproduction de vulnérabilités, mais elle a aussi tendance à qualifier à tort des chaînes d'appels réellement inaccessibles comme accessibles, à exagérer la gravité des vulnérabilités et à avoir une capacité limitée à identifier les vulnérabilités qui nécessitent plusieurs étapes légitimes déclenchées dans un ordre spécifique.

Par conséquent, l'équipe exige que toutes les vulnérabilités candidates puissent être reproduites indépendamment dans le code réel, et qu'elles soient soumises à une vérification indépendante et à un dédoublonnage, avant qu'un humain ne confirme si la vulnérabilité est valide, si elle constitue un rapport en double et quand la divulguer.

ETH2,22%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 3
  • 2
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
GovernanceVotingTug-Of-WarKing
· Il y a 8h
L'audit par IA trouve les vulnérabilités rapidement, mais la véritable compétence réside dans l'étape de vérification.
Voir l'originalRépondre0
L2ArbitrageYoungster
· Il y a 8h
La vérification manuelle du moment de la divulgation est cruciale, sinon une divulgation paniquée peut causer plus de dégâts que la vulnérabilité elle-même.
Voir l'originalRépondre0
SoftRugDetective
· Il y a 8h
libp2p ce CVE est assez intéressant, le déclenchement en plusieurs étapes reste effectivement un vieux problème difficile.
Voir l'originalRépondre0
  • Épinglé