吳說獲悉,以太坊基金會協議安全團隊發布文章,總結利用 AI 智能體審計以太坊協議代碼的方法與經驗。團隊表示,AI 智能體已發現包括 libp2p Gossipsub 遠程觸發崩潰漏洞(CVE-2026-34219)在內的真正安全漏洞,但安全審計的主要瓶頸已從發現漏洞轉向驗證漏洞真實性。
文章認為,AI 更適合作為漏洞搜索工具而非最終判斷者,其擅長結合代碼與規範發現潛在漏洞、驗證安全不變量及生成漏洞復現代碼,但也容易將實際不可達的調用鏈誤判為可達、誇大漏洞嚴重程度,並對需要多個合法步驟按特定順序觸發的漏洞識別能力有限。因此,團隊要求所有候選漏洞必須能夠在真實代碼中獨立復現,並經過獨立驗證和去重,最終由人工確認漏洞是否成立、是否屬於重複報告以及何時披露。
18.91萬 熱度
430.25萬 熱度
254.72萬 熱度
397.54萬 熱度
46.92萬 熱度
以太坊基金會:AI 審計瓶頸已從發現漏洞轉向驗證漏洞
吳說獲悉,以太坊基金會協議安全團隊發布文章,總結利用 AI 智能體審計以太坊協議代碼的方法與經驗。團隊表示,AI 智能體已發現包括 libp2p Gossipsub 遠程觸發崩潰漏洞(CVE-2026-34219)在內的真正安全漏洞,但安全審計的主要瓶頸已從發現漏洞轉向驗證漏洞真實性。
文章認為,AI 更適合作為漏洞搜索工具而非最終判斷者,其擅長結合代碼與規範發現潛在漏洞、驗證安全不變量及生成漏洞復現代碼,但也容易將實際不可達的調用鏈誤判為可達、誇大漏洞嚴重程度,並對需要多個合法步驟按特定順序觸發的漏洞識別能力有限。因此,團隊要求所有候選漏洞必須能夠在真實代碼中獨立復現,並經過獨立驗證和去重,最終由人工確認漏洞是否成立、是否屬於重複報告以及何時披露。