Yayasan Ethereum menerapkan agen AI untuk mengaudit basis kode dan menemukan CVE-2026-34219, sebuah bug yang dapat dipicu dari jarak jauh pada lapisan jaringan gossipsub di libp2p, menurut sebuah posting blog yang diterbitkan pada 9 Juli oleh Nikos Baxevanis dari tim keamanan protokol yayasan tersebut. Pengujian mengungkap bahwa satu agen menghasilkan sekitar 1.000 temuan kandidat, dengan 86% rekomendasi peringkat teratas yang bertahan setelah ditinjau oleh para ahli. Yayasan menyimpulkan bahwa memvalidasi laporan yang dihasilkan AI, alih-alih menemukan bug, merupakan hambatan bottleneck utama dalam audit keamanan berbantuan AI.
Agen AI memunculkan kepanikan yang dapat dipicu dari jarak jauh di gossipsub, bagian dari lapisan jaringan peer-to-peer libp2p yang dijalankan oleh klien konsensus Ethereum. Cacat tersebut telah diperbaiki dan diungkapkan sebagai CVE-2026-34219. Yayasan mencatat bahwa jika penyerang menemukan kerentanan ini lebih dulu, ia berpotensi mengganggu node-node di seluruh jaringan.
Posting blog berjudul "The triage is the product" menguraikan bagaimana sebagian besar masalah yang ditandai ternyata merupakan false positive meskipun di antaranya terdapat bug yang nyata. Yayasan mendokumentasikan pola berulang dari alarm palsu, termasuk crash yang hanya terjadi pada build debug dan tidak pernah terjadi di produksi, reproducers yang bergantung pada nilai internal yang tidak dapat disuplai oleh penyerang, serta bukti verifikasi formal yang secara teknis benar tetapi begitu tidak dibatasi hingga tidak menunjukkan apa pun.
Yayasan menyatakan bahwa kejutan itu bukan karena agen AI bisa menemukan bug, melainkan "betapa sedikit pekerjaan yang dilakukan untuk menemukannya, dan betapa banyak pekerjaan yang dilakukan untuk memisahkan bug nyata dari yang hanya tampak nyata." Tim menerapkan standar bukti yang ketat yang dirangkum sebagai "reproducible atau tidak terjadi." Setiap temuan kandidat kini diwajibkan menyertakan artefak yang dapat berdiri sendiri untuk mereproduksi kegagalan terhadap kode yang benar-benar digunakan, terlepas dari seberapa yakin agen pelapor mengklaim.
Yayasan menggambarkan agen sebagai pembangkit hipotesis yang disusun ke tahap recon, hunting, gap-filling, dan validation, dengan manusia yang membuat keputusan akhir. Beban kerja tidak hilang, tetapi berpindah ke hilir menuju triage, di mana insinyur berpengalaman memisahkan sinyal dari simulasi.
Posting blog menyajikan data tolok ukur untuk performa alat generasi saat ini. Agen pengujian berbasis properti menghasilkan sekitar 1.000 temuan kandidat. Setelah ditinjau oleh para ahli, sekitar 86% rekomendasi peringkat teratasnya lolos dari pengawasan. Yayasan mencatat bahwa tingkat ini kuat untuk sebuah mesin, tetapi tetap membutuhkan penyaringan manusia sebelum apa pun menyentuh kode produksi.
Alat-alat tersebut menemukan kerentanan nyata di infrastruktur kritis, sekaligus menyingkirkan anggapan bahwa laporan bug yang dihasilkan AI hanyalah kebisingan. Untuk sebuah jaringan yang mengamankan nilai senilai ratusan miliar dolar, penyaringan validasi manusia tetap menjadi hal yang esensial.
Yayasan memperlakukan pekerjaan ini sebagai inisiatif berkelanjutan alih-alih eksperimen sekali jalan. Program Dukungan Ekosistemnya mendanai putaran hibah khusus untuk keamanan protokol bertenaga AI, mencakup riset, audit, dan deteksi kerentanan.
Kerentanan apa yang ditemukan oleh agen AI Yayasan Ethereum?
Agen AI menemukan CVE-2026-34219, sebuah bug yang dapat dipicu dari jarak jauh pada lapisan jaringan gossipsub milik libp2p yang digunakan oleh klien konsensus Ethereum. Cacat tersebut telah diperbaiki dan diungkapkan setelah penemuan.
Berapa banyak temuan kandidat yang dihasilkan oleh agen AI?
Satu agen pengujian berbasis properti menghasilkan sekitar 1.000 temuan kandidat, dengan sekitar 86% rekomendasi peringkat teratas yang bertahan setelah ditinjau oleh tim keamanan yayasan.
Apa kesimpulan Yayasan Ethereum tentang audit keamanan berbantuan AI?
Yayasan menyimpulkan bahwa triage dan validasi terhadap laporan yang dihasilkan AI, alih-alih penemuan bug itu sendiri, merupakan hambatan bottleneck utama dalam audit keamanan berbantuan AI.
Berita Terkait
Penelitian Cambridge: 31% Node Ethereum di AS, Sepertiga Offline Menghambat Finalisasi
NEC Partners bekerja sama dengan Ava Labs untuk platform Blockchain Facial ID bagi pengunjung Jepang
Dukungan tim perjanjian untuk Yayasan Ethereum dibubarkan, mekanisme koordinasi EIP menghadapi kekosongan