Фонд Ethereum: вузьке місце аудиту ШІ перемістилося від виявлення вразливостей до перевірки вразливостей

robot
Генерація анотацій у процесі
За повідомленням Wu Shuo, команда з безпеки протоколу Ethereum Foundation опублікувала статтю, у якій підсумовує методи та досвід використання AI-агентів для аудиту коду протоколу Ethereum. Команда зазначає, що AI-агенти вже виявили реальні вразливості безпеки, включаючи вразливість віддаленого запуску збою в libp2p Gossipsub (CVE-2026-34219), але основний вузький місць аудиту безпеки змістився від виявлення вразливостей до перевірки їх справжності.
У статті вважають, що AI більше підходить як інструмент для пошуку вразливостей, а не як остаточний суддя; він добре вміє виявляти потенційні вразливості, поєднуючи код та специфікації, перевіряти інваріанти безпеки та генерувати код для відтворення вразливостей, але також схильний помилково вважати досяжними фактично недосяжні ланцюжки викликів, перебільшувати серйозність вразливостей та має обмежену здатність виявляти вразливості, які потребують кількох законних кроків, виконаних у певному порядку. Тому команда вимагає, щоб усі кандидати на вразливості могли бути незалежно відтворені в реальному коді, пройти незалежну перевірку та дедуплікацію, а остаточне підтвердження того, чи є вразливість дійсною, чи є вона повторним звітом та коли її розкривати, здійснюється людиною.
ETH2,22%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 3
  • 2
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
GovernanceVotingTug-Of-WarKing
· 8год тому
Аудиту AI швидко знаходить вразливості, але справжня майстерність — у процесі верифікації.
Переглянути оригіналвідповісти на0
L2ArbitrageYoungster
· 8год тому
Ручний остаточний контроль моменту розкриття є дуже важливим, інакше панічне розкриття завдає більшої шкоди, ніж сама вразливість.
Переглянути оригіналвідповісти на0
SoftRugDetective
· 8год тому
libp2p цей CVE досить цікавий, багатокрокове запускання справді стара складна проблема.
Переглянути оригіналвідповісти на0
  • Закріплено