Фонд Ethereum: узкое место в аудите ИИ сместилось с обнаружения уязвимостей на проверку уязвимостей.

robot
Генерация тезисов в процессе

吴说获悉, команда по безопасности протоколов Ethereum Foundation опубликовала статью, в которой обобщены методы и опыт использования AI-агентов для аудита кода протокола Ethereum. Команда заявила, что AI-агенты уже выявили реальные уязвимости безопасности, включая удалённую эксплуатацию уязвимости краха в libp2p Gossipsub (CVE-2026-34219), но основным узким местом аудита безопасности стал переход от обнаружения уязвимостей к проверке их реальности.

В статье отмечается, что AI лучше подходит в качестве инструмента для поиска уязвимостей, а не в качестве конечного судьи. Он хорошо сочетает код и спецификации для выявления потенциальных уязвимостей, проверки инвариантов безопасности и генерации кода для воспроизведения уязвимостей, но также склонен ошибочно считать фактически недостижимые цепочки вызовов достижимыми, преувеличивать серьёзность уязвимостей и имеет ограниченные возможности по выявлению уязвимостей, требующих выполнения нескольких легитимных шагов в определённой последовательности. Поэтому команда требует, чтобы все кандидаты в уязвимости могли быть независимо воспроизведены в реальном коде, прошли независимую проверку и дедупликацию, и окончательное решение о том, является ли уязвимость действительной, является ли она дублирующимся отчётом и когда её раскрывать, принималось человеком.

ETH2,19%
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • 3
  • 2
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
GovernanceVotingTug-Of-WarKing
· 10ч назад
ИИ-аудит быстро находит уязвимости, но этап верификации — это настоящее мастерство.
Посмотреть ОригиналОтветить0
L2ArbitrageYoungster
· 10ч назад
Важно, чтобы человек на финальном этапе контролировал момент раскрытия информации, иначе паническое раскрытие может нанести больший ущерб, чем сама уязвимость.
Посмотреть ОригиналОтветить0
SoftRugDetective
· 10ч назад
Этот CVE в libp2p довольно интересен, многошаговая активация действительно старая проблема.
Посмотреть ОригиналОтветить0
  • Закреплено