Криптовалюти

Ethereum довірив аудит коду ШІ: результати здивували розробників

Ethereum Foundation повідомила про успішне використання координованих ШІ-агентів для аудиту критично важливого коду екосистеми Ethereum. За словами команди безпеки Protocol Security, штучний інтелект уже допоміг виявити реальні вразливості, однак найбільшим викликом виявилося не їх знаходження, а перевірка достовірності результатів.

Одним із підтверджених результатів роботи стала вразливість у компоненті libp2p gossipsub, який використовують клієнти консенсусного рівня Ethereum для однорангової взаємодії. Помилку вже усунули та зареєстрували під ідентифікатором CVE-2026-34219.

Головна проблема — не пошук багів, а їх підтвердження

У Ethereum Foundation зазначили, що використання моделей штучного інтелекту перевершило очікування щодо швидкості пошуку потенційних проблем. Водночас значно більше часу потребувала перевірка того, які з них є реальними, а які, лише хибними спрацьовуваннями.

“ШІ-агенти знаходили баги – це не стало несподіванкою. Справжнім сюрпризом було те, наскільки мало часу займав їх пошук і наскільки багато, відокремлення реальних вразливостей від тих, що лише виглядали справжніми”, — зазначили в Ethereum Foundation.

У фонді порівняли ШІ-агентів із традиційними фаззерами (fuzzers), які автоматично тестують програмний код. Однак, на відміну від класичних інструментів, агенти здатні не лише повідомити про можливу помилку, а й надати пояснення, оцінити її потенційний вплив, рівень критичності та сформувати доказ концепції (Proof-of-Concept).

Попри це, у фонді наголосили, що жодна потенційна вразливість не визнається підтвердженою без незалежного відтворення.

“Кандидат не є вразливістю, доки не існує самодостатній артефакт, який відтворює збій у реальному коді та працює для людини, яка його не створювала”, — пояснили дослідники.

Для мінімізації кількості хибних спрацьовувань команда використовує багаторівневу систему перевірки. Кожен потенційний баг проходить незалежну валідацію, перевірку на дублювання вже відомих проблем, а також аналіз того, чи може вразливість бути реально використана зловмисником.

ШІ не замінює дослідників безпеки

У Ethereum Foundation підкреслили, що поява ШІ не зменшила роль фахівців із кібербезпеки, а лише змінила характер їхньої роботи.

“ШІ не замінив дослідника безпеки. Він просто змістив фокус роботи. Час, який раніше витрачався на пошук гіпотез, тепер іде на їх масштабну перевірку”, — йдеться в матеріалі.

Автори також наголосили, що остаточне рішення щодо того, чи є знайдена проблема справжньою вразливістю, завжди залишається за людиною.

“Агенти пропонують. Вони не вирішують, що є реальною вразливістю, що дублює відому проблему, а також що і коли потрібно розкривати”.

У фонді додали, що зі стрімким розвитком генеративного штучного інтелекту головним викликом більше не є пошук потенційних помилок. Натомість ключовим завданням стає оцінка достовірності отриманих результатів та їх ретельна перевірка.

Також раніше видання GALERANEWS писало, що співзасновник Ethereum Віталік Бутерін представив оновлену дорожню карту розвитку мережі, яка передбачає масштабну модернізацію протоколу протягом найближчих трьох-чотирьох років. За його словами, концепція Lean Ethereum стане третьою великою еволюцією блокчейна після переходу на Proof-of-Stake та змінить майже всі ключові компоненти мережі.

Back to top button