Ethereum Foundation Menemukan Bug Nyata dan False Positives dalam Pengujian Keamanan AI

ETH1,14%
LINK0,72%
BONK-1,58%

Yayasan Ethereum baru-baru ini menerapkan agen AI untuk menguji perangkat lunak blockchain, menemukan kerentanan keamanan yang nyata sekaligus menyingkap tantangan verifikasi yang kritis. Tim Keamanan Protokol menemukan bug nyata di gossipsub, lapisan pesan yang digunakan oleh klien Ethereum, yang diumumkan sebagai CVE-2026-34219. Uji coba tersebut mengungkap bahwa agen AI dapat menghasilkan laporan kerentanan yang meyakinkan untuk masalah yang tidak ada, sehingga diperlukan peninjau manusia untuk membedakan kelemahan perangkat lunak yang asli dari false positive. Pengujian ini bertujuan untuk memperkuat keamanan blockchain terbesar berdasarkan nilai yang terkunci. Infrastruktur Ethereum bergantung pada ribuan node yang menjalankan perangkat lunak jaringan, di mana kegagalan pesan dapat mengganggu validator meski rantai yang lebih luas tetap utuh.

Yayasan Ethereum Menemukan Kerentanan Gossipsub Melalui Pengujian AI

Bug yang diidentifikasi oleh para insinyur berada di gossipsub, lapisan pesan yang digunakan oleh klien Ethereum untuk mendistribusikan informasi ke seluruh jaringan. Kekurangan tersebut memungkinkan sistem jarak jauh memicu crash pada perangkat lunak node. Saat crash terjadi, node menjalankan perhitungan yang mustahil, berhenti beroperasi, dan membuat validator tidak aktif sampai operator menyalakannya ulang.

Masalah ini cepat diperbaiki dan diumumkan sebagai CVE-2026-34219, dengan pemberian apresiasi kepada tim yang terlibat. Bug tersebut dapat menyebabkan node crash dari jarak jauh, berdampak pada uptime validator, partisipasi jaringan, dan ketahanan klien. Bagi validator, downtime berarti hilangnya imbalan dan risiko operasional.

Nikos Baxevanis, yang menulis postingan Yayasan, menyatakan bahwa yang mengejutkan adalah betapa sedikit upaya yang dibutuhkan untuk menemukan bug dan betapa besar upaya untuk membedakan bug nyata dari bug yang tampak nyata. Yayasan mempublikasikan catatan lapangan dari proses tersebut untuk menguraikan bagaimana tim lain seharusnya menangani workflow keamanan berbantuan AI.

Agen AI Menghasilkan Tiga Kategori Laporan False Positive

Yayasan mengidentifikasi tiga jenis false positive yang terus muncul. Yang pertama melibatkan crash yang hanya terjadi pada build pengujian, di mana pemeriksaan keselamatan kompiler diaktifkan tetapi tidak akan ada pada perangkat lunak yang dirilis. Dalam kasus tersebut, crash yang dilaporkan tidak memengaruhi pengguna nyata.

Kedua melibatkan serangan yang hanya berhasil jika nilai berbahaya dimasukkan secara manual ke dalam program. Jika setiap jalur eksternal menolak nilai tersebut sebelum mencapai jalur kode yang rentan, serangan tidak dapat dieksekusi oleh pihak luar. Ketiga berasal dari verifikasi formal, di mana sebuah bukti lolos dengan menunjukkan sesuatu yang benar secara sepele, tanpa memberikan bukti bermakna bahwa perangkat lunak berperilaku dengan benar.

Setiap kasus menghasilkan kesan adanya pengujian tanpa membuktikan adanya masalah keamanan yang nyata. Agen AI menghasilkan narasi, menjelaskan bagaimana celah tersebut mungkin dicapai, menguraikan mengapa itu penting, mengusulkan peringkat tingkat keparahan, dan menyediakan kode yang berfungsi yang tampak menunjukkan serangannya. Laporan tersebut dapat dibaca dengan lancar apakah bug itu asli atau dibuat-buat.

Yayasan Merekomendasikan Workflow Berbantuan AI untuk Tim Keamanan

Yayasan Ethereum memperingatkan bahwa agen lebih kuat dalam penalaran tentang satu momen dibandingkan dalam mengidentifikasi bug yang muncul dari rangkaian tindakan yang valid. Kelemahan ini sangat relevan untuk keuangan terdesentralisasi, di mana banyak eksploit disebabkan oleh rangkaian langkah biasa yang disusun dalam urutan yang berbahaya.

Beberapa serangan baru-baru ini cocok dengan pola tersebut. Pada eksploit Edel Finance, feed harga Chainlink yang akurat disiasati lewat lapisan pembungkus di atasnya. Pada serangan tata kelola BONK, membeli token, memberikan suara, dan mengeksekusi proposal yang lolos semuanya merupakan transaksi normal. Eksploit tersebut muncul dari cara tindakan-tindakan tersebut digabungkan.

Workflow yang diusulkan Yayasan adalah menggunakan agen untuk menyarankan urutan mana yang layak diuji, lalu menjalankan pengujian secara independen. Pendekatan ini memperlakukan AI sebagai cara untuk memperluas pencarian jalur serangan yang mungkin, bukan sebagai hakim terakhir apakah sebuah kerentanan ada. Kesimpulan utamanya adalah bahwa agen AI dapat memperluas permukaan pencarian sekaligus meningkatkan kebutuhan akan verifikasi yang disiplin.

FAQ

Kerentanan apa yang ditemukan Yayasan Ethereum menggunakan agen AI?

Yayasan Ethereum menemukan CVE-2026-34219, sebuah bug di gossipsub, lapisan pesan yang digunakan oleh klien Ethereum. Kekurangan tersebut memungkinkan sistem jarak jauh memicu crash pada perangkat lunak node, menyebabkan node menjalankan perhitungan yang mustahil, berhenti beroperasi, dan membuat validator tidak aktif sampai operator menyalakannya ulang.

Jenis false positive apa yang dihasilkan agen AI selama pengujian keamanan Ethereum?

Yayasan mengidentifikasi tiga jenis false positive: crash yang hanya terjadi pada build pengujian dengan pemeriksaan keselamatan kompiler yang tidak ada pada perangkat lunak yang dirilis, serangan yang membutuhkan nilai berbahaya yang dimasukkan secara manual dan akan ditolak oleh jalur eksternal, serta bukti verifikasi formal yang lolos dengan menunjukkan sesuatu yang benar secara sepele tanpa membuktikan perilaku perangkat lunak yang benar.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar