La Fondation Ethereum utilise l’IA pour exploiter des failles : découverte réussie d’un problème de sécurité, qui affirme que la vérification manuelle reste irremplaçable

robot
Création du résumé en cours

Messages de BlockBeats, le 11 juillet : la Fondation Ethereum a révélé que son équipe de sécurité des protocoles utilise des agents IA pour mener des recherches de vulnérabilités sur les logiciels clients Ethereum, afin d’améliorer la sécurité du réseau. Pendant les tests, l’IA a réussi à découvrir une vulnérabilité dans le protocole de propagation des messages Gossipsub. Cette vulnérabilité permet à une attaque à distance de déclencher un crash du programme du nœud, entraînant la mise hors ligne des nœuds validateurs. À l’heure actuelle, la vulnérabilité a été corrigée et enregistrée sous le numéro CVE-2026-34219.

Cependant, la Fondation Ethereum souligne que le plus grand défi de l’IA n’est pas de découvrir des vulnérabilités, mais de distinguer les véritables failles des faux positifs. L’IA peut non seulement produire des descriptions de vulnérabilités, des analyses d’impact et du code d’attaque, mais aussi générer des problèmes apparemment plausibles mais inexistants ; des chercheurs en sécurité doivent donc encore procéder à des vérifications minutieuses. La Fondation a résumé trois catégories courantes de faux positifs, dont les crashs n’apparaissant que dans l’environnement de test, les parcours d’attaque qui ne peuvent pas être exploités dans un environnement réel, ainsi que les preuves invalides issues de la vérification formelle.

En outre, la Fondation Ethereum estime que l’IA est aujourd’hui plus performante pour analyser des problèmes de code isolés, mais que ses capacités à identifier des chaînes d’attaque complexes composées de plusieurs opérations légitimes restent limitées. Or, ce type d’attaque est l’une des principales raisons des attaques subies cette année par plusieurs protocoles cryptographiques. À l’avenir, la Fondation Ethereum prévoit de faire en sorte que l’IA assiste la génération de chemins d’attaque potentiels, puis de combiner des tests manuels et automatisés pour les valider, afin d’améliorer encore l’efficacité et la précision de la découverte de vulnérabilités.

ETH1,58%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé