以太坊基金會:AI 審計瓶頸已從發現漏洞轉向驗證漏洞

robot
摘要生成中

吳說獲悉,以太坊基金會協議安全團隊發布文章,總結利用 AI 智能體審計以太坊協議代碼的方法與經驗。團隊表示,AI 智能體已發現包括 libp2p Gossipsub 遠程觸發崩潰漏洞(CVE-2026-34219)在內的真正安全漏洞,但安全審計的主要瓶頸已從發現漏洞轉向驗證漏洞真實性。

文章認為,AI 更適合作為漏洞搜索工具而非最終判斷者,其擅長結合代碼與規範發現潛在漏洞、驗證安全不變量及生成漏洞復現代碼,但也容易將實際不可達的調用鏈誤判為可達、誇大漏洞嚴重程度,並對需要多個合法步驟按特定順序觸發的漏洞識別能力有限。因此,團隊要求所有候選漏洞必須能夠在真實代碼中獨立復現,並經過獨立驗證和去重,最終由人工確認漏洞是否成立、是否屬於重複報告以及何時披露。

ETH2.19%
查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 打賞
  • 3
  • 2
  • 分享
回覆
請輸入回覆內容
請輸入回覆內容
治理投票拉扯王
· 10小時前
AI審計找漏洞快,驗證環節才是真功夫
查看原文回復0
L2搬砖少年
· 10小時前
人工最後把關揭露時機這點很關鍵,不然恐慌性揭露比漏洞本身傷害還大
查看原文回復0
Soft Rug Detective
· 10小時前
libp2p那個CVE挺有意思,多步觸發確實是老難題了
查看原文回復0
  • 已置頂