Fundação Ethereum: o gargalo da auditoria de IA passou de encontrar vulnerabilidades para verificar vulnerabilidades.

robot
Geração de resumo em curso

O Wu disse que a equipa de segurança de protocolo da Fundação Ethereum publicou um artigo resumindo os métodos e experiências de usar agentes de IA para auditar o código do protocolo Ethereum. A equipa afirmou que os agentes de IA já descobriram vulnerabilidades de segurança reais, incluindo a vulnerabilidade de crash remoto acionada pelo libp2p Gossipsub (CVE-2026-34219), mas o principal gargalo da auditoria de segurança passou de descobrir vulnerabilidades para verificar a veracidade das mesmas.

O artigo considera que a IA é mais adequada como ferramenta de busca de vulnerabilidades do que como juiz final, sendo boa para combinar código e especificações para encontrar potenciais vulnerabilidades, verificar invariantes de segurança e gerar código de reprodução de vulnerabilidades, mas também tende a julgar incorretamente cadeias de chamadas inalcançáveis como alcançáveis, exagerar a gravidade das vulnerabilidades e ter capacidade limitada para identificar vulnerabilidades que exigem vários passos legítimos acionados numa ordem específica. Portanto, a equipa exige que todas as vulnerabilidades candidatas possam ser reproduzidas de forma independente no código real, passem por verificação independente e desduplicação, e finalmente seja confirmado por humanos se a vulnerabilidade é válida, se é um relato duplicado e quando deve ser divulgada.

ETH0,81%
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 3
  • 2
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
GovernanceVotingTug-Of-WarKing
· 12h atrás
A auditoria de IA encontra vulnerabilidades rapidamente, mas a fase de verificação é que é a verdadeira habilidade.
Ver originalResponder0
L2ArbitrageYoungster
· 12h atrás
A supervisão humana final do timing da divulgação é crucial, caso contrário, a divulgação em pânico pode causar mais danos do que a própria vulnerabilidade.
Ver originalResponder0
SoftRugDetective
· 12h atrás
Essa CVE do libp2p é bastante interessante, a ativação em várias etapas é realmente um problema antigo.
Ver originalResponder0
  • Fixado