Agentes de IA da Ethereum Foundation descobrem falha CVE-2026-34219 no código do libp2p

ETH2,80%

A Ethereum Foundation implantou agentes de IA para auditar sua base de código e descobriu a CVE-2026-34219, um bug acionável remotamente na camada de rede gossipsub do libp2p, segundo uma postagem em blog publicada em 9 de julho por Nikos Baxevanis, da equipe de segurança de protocolos da fundação. O teste revelou que um agente gerou aproximadamente 1.000 achados candidatos, com 86% das recomendações de maior nível sobrevivendo à revisão de especialistas. A fundação concluiu que validar relatórios gerados por IA, em vez de descobrir bugs, representa o principal gargalo de carga de trabalho em auditorias de segurança com assistência de IA.

Ethereum Foundation Descobre Vulnerabilidade Crítica no Gossipsub

Os agentes de IA identificaram uma vulnerabilidade acionável remotamente no gossipsub, parte da camada de rede ponto a ponto do libp2p, sobre a qual operam os clientes de consenso do Ethereum. A falha foi corrigida e divulgada como CVE-2026-34219. A fundação observou que, se um atacante tivesse descoberto essa vulnerabilidade primeiro, poderia tê-la explorado para interromper nós em toda a rede.

A postagem do blog, intitulada “The triage is the product”, detalhou como a maioria dos problemas sinalizados acabou sendo falso positivo, apesar de conter bugs reais no meio. A fundação catalogou padrões recorrentes de falsos alarmes, incluindo crashes que só ocorrem em builds de debug e nunca em produção, reproduzidores que dependem de valores internos inalcançáveis que nenhum atacante poderia fornecer, e provas de verificação formal que são tecnicamente verdadeiras, mas tão pouco restritas que não demonstram nada.

Fundação Identifica Triagem como Principal Gargalo

A fundação afirmou que a surpresa não era que agentes de IA pudessem encontrar bugs, mas sim “o quanto foi feito para encontrá-los, e quanto foi feito para distinguir os bugs reais daqueles que apenas pareciam reais”. A equipe implementou um padrão rígido de evidência, resumido como “reproduzível ou não aconteceu”. Todo achado candidato agora precisa ser enviado junto com um artefato autocontido que reproduza a falha no código real, independentemente do quão confiante o agente que reportou afirma estar.

A fundação descreveu agentes como geradores de hipóteses organizados em etapas de reconhecimento (recon), caça (hunting), preenchimento de lacunas (gap-filling) e validação, com humanos tomando a decisão final. A carga de trabalho não desapareceu, mas apenas foi deslocada para a triagem, onde engenheiros experientes separam sinal de simulação.

Agentes de IA Alcançam Taxa de Validação de 86% em Testes

A postagem do blog forneceu dados de referência sobre o desempenho de ferramentas de geração atuais. Um agente de testes baseados em propriedades gerou aproximadamente 1.000 achados candidatos. Após revisão de especialistas, aproximadamente 86% das recomendações de maior nível sobreviveram ao escrutínio. A fundação observou que essa taxa é boa para uma máquina, mas ainda exige um filtro humano antes que qualquer coisa toque código de produção.

As ferramentas estão encontrando vulnerabilidades reais em infraestrutura crítica, derrubando a alegação de que relatórios de bugs gerados por IA são apenas ruído. Para uma rede que protege centenas de bilhões de dólares em valor, o filtro de validação humana continua essencial.

Programa de Suporte ao Ecossistema Financia Subsídios de Segurança com IA

A fundação está tratando esse trabalho como uma iniciativa contínua, e não como um experimento único. Seu Programa de Suporte ao Ecossistema está financiando uma rodada de subsídios dedicada à segurança de protocolos com IA, cobrindo pesquisa, auditorias e detecção de vulnerabilidades.

FAQ

Que vulnerabilidade os agentes de IA da Ethereum Foundation descobriram?
Os agentes de IA descobriram a CVE-2026-34219, um bug acionável remotamente na camada de rede gossipsub do libp2p usada por clientes de consenso do Ethereum. A falha foi corrigida e divulgada após a descoberta.

Quantos achados candidatos os agentes de IA geraram?
Um agente de testes baseados em propriedades gerou aproximadamente 1.000 achados candidatos, com cerca de 86% das recomendações de maior nível sobrevivendo à revisão de especialistas da equipe de segurança da fundação.

O que a Ethereum Foundation concluiu sobre auditoria de segurança com assistência de IA?
A fundação concluiu que triagem e validação de relatórios gerados por IA, em vez da própria descoberta de bugs, representam o principal gargalo de carga de trabalho em auditorias de segurança com assistência de IA.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários