Ethereum Foundation: Kemacetan audit AI telah beralih dari menemukan celah ke memverifikasi celah.

robot
Pembuatan abstrak sedang berlangsung

吴说获悉,Tim keamanan protokol Ethereum Foundation merilis artikel yang merangkum metode dan pengalaman menggunakan agen AI untuk mengaudit kode protokol Ethereum. Tim menyatakan bahwa agen AI telah menemukan kerentanan keamanan nyata, termasuk kerentanan yang memicu crash jarak jauh pada libp2p Gossipsub (CVE-2026-34219), namun hambatan utama dalam audit keamanan telah bergeser dari menemukan kerentanan ke verifikasi kebenaran kerentanan.

Artikel tersebut berpendapat bahwa AI lebih cocok digunakan sebagai alat pencari kerentanan daripada sebagai penilai akhir. AI unggul dalam menggabungkan kode dan spesifikasi untuk menemukan potensi kerentanan, memverifikasi invarian keamanan, dan menghasilkan kode reproduksi kerentanan. Namun, AI juga cenderung salah mengartikan rantai panggilan yang sebenarnya tidak dapat dijangkau sebagai dapat dijangkau, membesar-besarkan tingkat keparahan kerentanan, dan memiliki kemampuan terbatas dalam mengidentifikasi kerentanan yang memerlukan beberapa langkah sah yang dijalankan dalam urutan tertentu. Oleh karena itu, tim mensyaratkan bahwa semua kandidat kerentanan harus dapat direproduksi secara independen dalam kode nyata, melalui verifikasi independen dan deduplikasi, dan pada akhirnya dikonfirmasi oleh manusia apakah kerentanan tersebut valid, apakah merupakan laporan duplikat, serta kapan akan diungkapkan.

ETH2,22%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • 3
  • 2
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
GovernanceVotingTug-Of-WarKing
· 8jam yang lalu
Audit AI cepat dalam menemukan celah, namun tahap verifikasilah yang menjadi inti keahlian.
Lihat AsliBalas0
L2ArbitrageYoungster
· 8jam yang lalu
Waktu pengungkapan yang diperiksa secara manual pada akhirnya sangat penting, jika tidak, pengungkapan yang panik lebih berbahaya daripada celah keamanan itu sendiri.
Lihat AsliBalas0
SoftRugDetective
· 8jam yang lalu
libp2p CVE itu cukup menarik, pemicu multi-langkah memang masalah lama yang sulit.
Lihat AsliBalas0
  • Disematkan