以太坊研究人员正在使用AI Agent来寻找漏洞,将安全工作从查找漏洞转移到证明哪些漏洞是真实存在的。
要点
以太坊基金会的研究人员正在使用AI Agent对关键网络基础设施进行红队演练。
这些特工协助发现了一个点对点软件漏洞,该漏洞后来被公开。
人工智能辅助审计已经发现了区块链项目中的漏洞,包括 Zcash。
以太坊基金会正在利用大量AI Agent攻击以太坊——赶在其他人之前。
以太坊基金会协议安全团队的研究人员周四在一篇博客文章中表示,他们已经部署了一系列AI Agent来攻击以太坊所依赖的软件,以寻找加密系统、协议代码和智能合约中的漏洞。
研究人员写道:“我们一直在运行协同AI Agent,测试网络所依赖的各种系统,例如系统软件、加密代码以及必须正确的合约。这些AI Agent发现了真正的漏洞。”
发现的漏洞之一是libp2p的gossipsub(以太坊共识客户端使用的点对点层的一部分)中存在远程触发的panic。该问题已修复,并在GitHub上以CVE-2026-34219的形式披露。
这种被称为“红队演练”的做法,是指公司派遣安全研究人员攻击自身系统,试图渗透或破坏网络,以便在恶意黑客发现漏洞之前找出它们。红队负责攻击系统,而蓝队则负责防御。
传统上,人类研究人员通过手动审查代码来寻找漏洞——但AI Agent可以扫描整个代码库,测试潜在的漏洞利用,并生成可供审查的调查结果。
“特工发现漏洞并不令人意外,”团队写道。“令人意外的是,发现漏洞本身的工作量如此之小,而区分真正的漏洞和看起来像漏洞的漏洞却耗费了大量精力。”
根据以太坊基金会的说法,这些AI Agent被组织成不同的专业角色,包括侦察、搜寻、漏洞填补和验证。一些AI Agent负责寻找可能的攻击路径,而另一些AI Agent则尝试重现故障并验证它们是否适用于生产代码。
他们写道:“这种模式的存在是有原因的。它强制要求提出具体、可检验的主张,并对‘完成’做出清晰的定义。必须写下可观察证明的AI Agent不能再以‘这看起来有风险’为借口。”
今年 4 月,人工智能在漏洞研究中发挥的作用日益增强,Anthropic 公司的 Claude Mythos 预览版在 Mozilla 的 Firefox 浏览器中发现了271 个漏洞。
研究人员将AI Agent与模糊测试器(一种用于测试软件缺陷的工具)进行了比较。然而,与模糊测试器不同的是,AI Agent可以生成漏洞报告、评估影响并创建概念验证测试。
但详尽并不总是意味着正确。人工智能生成的结论即使错误,也可能看起来很有说服力,因此研究人员需要筛选掉重复项、误报以及实际上无法利用的漏洞。
研究人员写道:“有一条规则比其他任何规则都重要。只有当存在一个独立的、能够复现真实代码故障的测试用例,并且该测试用例能够由非代码编写者运行时,候选代码才能被认定为有效发现。复现测试用例不需要阅读文档,也不需要关心模型的可靠性。它要么能运行,要么不能运行。”
人工智能工具已经帮助安全研究人员发现了区块链网络中的漏洞。
今年5月,安全研究员泰勒·霍恩比(Taylor Hornby)在一次人工智能辅助审计中使用了Anthropic公司的Claude Opus 4.8工具,发现了Zcash Orchard隐私池中的一个严重漏洞。该漏洞已存在约四年,攻击者可以利用该漏洞伪造ZEC ,且不会留下明显的链上痕迹。目前,旨在恢复Zcash供应量信心的网络升级仍在进行中。
以太坊基金会的实验将这项技术引入内部,利用AI Agent来测试自己的代码,以发现漏洞。
以太坊基金会表示:“人工智能并没有取代安全研究人员,只是转移了他们的工作。智能体让我们能够覆盖比人工多得多的范围。作为交换,它们要求我们对数量庞大、听起来很有把握的说法进行更谨慎的判断。”
“这是一笔值得做的交易,”他们补充道,“只要你记住,最终的评判才是真正的产品。”
本文仅供信息分享,非商业用途,版权归原作者所有。如有侵权请联系删除。内容不构成投资建议。
热门跟贴