Các tác nhân AI của Quỹ Ethereum phát hiện lỗ hổng CVE-2026-34219 trong mã libp2p

ETH2,80%

Quỹ Ethereum đã triển khai các tác nhân AI để kiểm toán kho mã của mình và phát hiện CVE-2026-34219, một lỗi có thể kích hoạt từ xa trong lớp mạng gossipsub của libp2p, theo bài blog được Nikos Baxevanis thuộc nhóm bảo mật giao thức của quỹ Ethereum đăng ngày 9 tháng 7. Quá trình thử nghiệm cho thấy một tác nhân đã tạo ra khoảng 1.000 phát hiện ứng viên, với 86% khuyến nghị thuộc nhóm cao nhất được chuyên gia rà soát và vẫn giữ nguyên. Quỹ kết luận rằng việc xác thực các báo cáo do AI sinh ra, thay vì việc tìm ra lỗi, mới là nút thắt tải công việc chính trong kiểm toán bảo mật có hỗ trợ AI.

Quỹ Ethereum Phát Hiện Lỗ hổng Gossipsub Nghiêm trọng

Các tác nhân AI đã phát hiện một hiện tượng hoảng loạn có thể kích hoạt từ xa trong gossipsub, là một phần của lớp mạng ngang hàng libp2p mà các client đồng thuận Ethereum vận hành. Lỗi đã được khắc phục và công bố dưới mã CVE-2026-34219. Quỹ lưu ý rằng nếu một kẻ tấn công phát hiện lỗ hổng này trước, có thể họ đã dùng nó để làm gián đoạn các node trên toàn mạng.

Bài blog, có tựa đề "The triage is the product" (việc phân loại chính là sản phẩm), mô tả cách phần lớn các vấn đề được gắn cờ hóa ra là dương tính giả dù vẫn lẫn trong đó các lỗi thật. Quỹ đã lập danh mục các mẫu báo động sai lặp lại, bao gồm các tình huống sụp đổ chỉ xảy ra ở bản build gỡ lỗi và không bao giờ xảy ra ở môi trường sản xuất, các bộ tái hiện dựa vào các giá trị nội bộ không ai có thể cung cấp từ phía kẻ tấn công, và các chứng minh xác minh hình thức đúng về mặt kỹ thuật nhưng quá khó ràng buộc đến mức không thể chứng minh được gì.

Quỹ Xác Định Phân Loại Là Nút Thắt Chính

Quỹ cho biết bất ngờ không nằm ở việc các tác nhân AI có thể tìm ra lỗi, mà là "phần công việc dành cho việc tìm chúng ít đến mức nào, và phần công việc dành cho việc phân tách các lỗi thật với những thứ chỉ trông có vẻ thật nhiều đến mức nào." Nhóm đã triển khai một chuẩn mực bằng chứng chặt chẽ, được tóm tắt là "có thể tái hiện thì mới được tính." Mỗi phát hiện ứng viên hiện được yêu cầu phải đi kèm một hiện vật tự chứa có thể tái hiện thất bại trên đúng đoạn mã thực tế, độc lập với mức độ tự tin mà tác nhân tạo báo cáo tuyên bố.

Quỹ mô tả các tác nhân như những bộ tạo giả thuyết được tổ chức theo các giai đoạn trinh sát (recon), săn tìm (hunting), bổ sung khoảng trống (gap-filling) và xác thực (validation), với con người là người đưa ra quyết định cuối cùng. Khối lượng công việc chưa biến mất mà chỉ chuyển xuống bước phân loại, nơi các kỹ sư giàu kinh nghiệm tách tín hiệu khỏi mô phỏng.

Các Tác Nhân AI Đạt Tỷ Lệ Xác Thực 86% Trong Thử Nghiệm

Bài blog cung cấp dữ liệu benchmark về hiệu năng của các công cụ thế hệ hiện tại. Một tác nhân kiểm thử dựa trên thuộc tính (property-based) tạo ra xấp xỉ 1.000 phát hiện ứng viên. Sau khi chuyên gia rà soát, khoảng 86% khuyến nghị thuộc nhóm cao nhất của nó vượt qua được sự kiểm tra nghiêm ngặt. Quỹ lưu ý rằng tỷ lệ này là tốt đối với máy móc, nhưng vẫn cần một bộ lọc con người trước khi bất kỳ thứ gì chạm vào mã triển khai sản xuất.

Các công cụ đang tìm ra các lỗ hổng thật trong hạ tầng quan trọng, qua đó làm suy yếu lập luận rằng các báo cáo lỗi do AI sinh ra chỉ là nhiễu thuần túy. Với một mạng dùng để bảo vệ giá trị lên tới hàng trăm tỷ USD, bộ lọc xác thực của con người vẫn là yếu tố thiết yếu.

Chương Trình Hỗ Trợ Hệ Sinh Thái Tài Trợ Các Khoản Tài Trợ Bảo Mật AI

Quỹ đang coi công việc này là một sáng kiến liên tục, chứ không phải một thí nghiệm diễn ra một lần. Chương Trình Hỗ Trợ Hệ Sinh Thái của quỹ đang tài trợ một đợt cấp kinh phí riêng cho bảo mật giao thức do AI hỗ trợ, bao gồm nghiên cứu, kiểm toán và phát hiện lỗ hổng.

Câu hỏi thường gặp

Các tác nhân AI của Quỹ Ethereum đã phát hiện lỗ hổng nào?
Các tác nhân AI phát hiện CVE-2026-34219, một lỗi có thể kích hoạt từ xa trong lớp mạng gossipsub của libp2p được các client đồng thuận Ethereum sử dụng. Lỗi đã được khắc phục và công bố sau khi phát hiện.

Các tác nhân AI đã tạo ra bao nhiêu phát hiện ứng viên?
Một tác nhân kiểm thử dựa trên thuộc tính đã tạo ra khoảng 1.000 phát hiện ứng viên, với khoảng 86% khuyến nghị thuộc nhóm cao nhất của nó vượt qua được sự kiểm tra nghiêm ngặt. Quỹ lưu ý rằng tỷ lệ này là tốt đối với máy móc, nhưng vẫn cần một bộ lọc con người trước khi bất kỳ thứ gì chạm vào mã triển khai sản xuất.

Quỹ Ethereum đã kết luận gì về kiểm toán bảo mật có hỗ trợ AI?
Quỹ kết luận rằng việc phân loại và xác thực các báo cáo do AI sinh ra, thay vì bản thân việc phát hiện lỗi, mới là nút thắt tải công việc chính trong kiểm toán bảo mật có hỗ trợ AI.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận