Ethereum Foundation: gargalo de auditoria de IA mudou de encontrar vulnerabilidades para verificar vulnerabilidades

robot
Geração do resumo em andamento

A equipe de segurança de protocolo da Ethereum Foundation publicou um artigo resumindo métodos e experiências no uso de agentes de IA para auditar o código do protocolo Ethereum. A equipe afirma que os agentes de IA já descobriram vulnerabilidades reais de segurança, incluindo a falha de crash remoto acionado no libp2p Gossipsub (CVE-2026-34219), mas que o principal gargalo da auditoria de segurança passou da descoberta de vulnerabilidades para a verificação da veracidade delas.

O artigo considera que a IA é mais adequada como ferramenta de busca de vulnerabilidades do que como julgadora final. Ela é proficiente em combinar código com especificações para encontrar potenciais vulnerabilidades, verificar invariantes de segurança e gerar código de reprodução de vulnerabilidades, mas também tende a julgar erroneamente cadeias de chamadas inalcançáveis como alcançáveis, exagerar a gravidade das vulnerabilidades e ter capacidade limitada para identificar vulnerabilidades que exigem múltiplas etapas legítimas executadas em uma ordem específica. Portanto, a equipe exige que todas as vulnerabilidades candidatas sejam reproduzíveis de forma independente no código real, passem por verificação e deduplicação independentes, e que, ao final, um humano confirme se a vulnerabilidade é válida, se é um relato duplicado e quando deve ser divulgada.

ETH1,52%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • 3
  • 2
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
GovernanceVotingTug-Of-WarKing
· 11h atrás
Auditoria de IA encontra vulnerabilidades rapidamente, a etapa de verificação é a verdadeira habilidade.
Ver originalResponder0
L2ArbitrageYoungster
· 11h atrás
O timing da divulgação com a supervisão humana final é crucial, caso contrário, uma divulgação que cause pânico pode ser mais prejudicial do que a própria vulnerabilidade.
Ver originalResponder0
SoftRugDetective
· 11h atrás
O CVE do libp2p é bem interessante. A ativação em várias etapas é realmente um problema antigo.
Ver originalResponder0
  • Fixado