Ethereum użyło agentów SI do audytu krytycznego kodu

Ethereum Foundation użyła skoordynowanych agentów SI do audytu krytycznego kodu; wykryto m.in. podatność w libp2p gossipsub (CVE-2026-34219), głównym zadaniem była weryfikacja zgłoszeń.
Ethereum Foundation wraz z zespołem Protocol Security przeprowadziła testy z użyciem skoordynowanych agentów sztucznej inteligencji, które automatycznie przeszukiwały fragmenty kodu ekosystemu Ethereum w poszukiwaniu potencjalnych błędów. Wyniki prac opisano w komunikacie opublikowanym 10 lipca 2026 r.
Jednym z potwierdzonych wykryć była podatność w komponencie libp2p gossipsub, wykorzystywanym przez klientów warstwy konsensusu do komunikacji peer-to-peer. Problem usunięto, a luka została zgłoszona i opublikowana jako CVE-2026-34219.
Zespół porównał agentów SI do fuzzerów, wskazując na istotne różnice w sposobie raportowania. Agenci przygotowywali zgłoszenia uzupełnione o opis przyczyny, ocenę wpływu, klasyfikację krytyczności oraz dowód koncepcji (proof-of-concept). Badacze zaznaczyli jednak, że żadne zgłoszenie nie jest uznawane za potwierdzone bez niezależnego odtworzenia awarii przez osobę, która nie uczestniczyła w tworzeniu dowodu.
„Kandydat nie jest podatnością, dopóki nie istnieje samowystarczalny artefakt, który odtwarza awarię w rzeczywistym kodzie i działa dla osoby, która go nie stworzyła” — czytamy w komunikacie autorów testów.
W oświadczeniu fundacja wskazała, że największym wyzwaniem okazało się oddzielenie rzeczywistych podatności od fałszywych alarmów. Organizacja zauważyła, że agenci szybko znajdowali potencjalne błędy, natomiast znaczna część pracy ekspertów polegała na weryfikacji wiarygodności tych zgłoszeń.
Aby ograniczyć liczbę fałszywych zgłoszeń, zespół wprowadził wielopoziomowy proces walidacji. Każde zgłoszenie przechodzi niezależną weryfikację, sprawdzenie pod kątem dublowania znanych problemów oraz analizę możliwości praktycznego wykorzystania przez atakującego.
Fundacja podkreśliła, że rola badaczy bezpieczeństwa się zmieniła, a nie zniknęła. Autorzy raportu wskazali, że czas dotąd poświęcany na wyszukiwanie hipotez jest obecnie przeznaczany na szeroką weryfikację zgłoszeń i odtwarzanie dowodów.
Publikacja wpisuje się w postępującą integrację sztucznej inteligencji z ekosystemem Ethereum. Współzałożyciel Vitalik Buterin wcześniej wskazywał na możliwość wykorzystania AI do formalnej weryfikacji kodu. W ekosystemie pojawiła się też propozycja standardu ERC-8183 dotyczącego płatności warunkowych między agentami AI.
Treści publikowane na GNcrypto mają wyłącznie charakter informacyjny i nie stanowią porady finansowej. Dokładamy starań, aby informacje były rzetelne i aktualne, jednak nie gwarantujemy ich pełnej poprawności, kompletności ani niezawodności. GNcrypto nie ponosi odpowiedzialności za ewentualne błędy, pominięcia ani straty finansowe wynikające z polegania na tych treściach. Wszystkie działania podejmujesz na własne ryzyko. Zawsze prowadź własne badania i korzystaj z pomocy profesjonalistów. Szczegóły znajdziesz w naszych Warunkach, Polityce prywatności i Zastrzeżeniach.






