Ethereumin turvallisuuden parantaminen AI-agenttien avulla
Ethereum Foundation hyödyntää AI-agentteja Ethereumin turvallisuuden parantamiseksi ennen kuin haitalliset hakkerit ehtivät iskeä. Torstaina julkaistussa blogikirjoituksessa Ethereum Foundationin protokollan turvallisuustiimi kertoi käyttävänsä sarjaa AI-agenteja ohjelmiston haavoittuvuuksien etsimiseen. Nämä agentit tarkastelevat kryptografisia järjestelmiä, protokollakoodia ja älysopimuksia.
”Olemme käyttäneet koordinoituja AI-agenteja verkon riippuvaisiin järjestelmiinsä, kuten järjestelmäohjelmistoon, kryptografiseen koodiin ja sopimuksiin, joiden on oltava virheettömiä,” tutkijat kirjoittivat. ”Agentit löysivät todellisia virheitä.”
Yksi löydetyistä virheistä liittyi etäisesti laukaistuun paniikkiin libp2p:n gossipsubissa, joka on osa Ethereum-konsensusasiakkaiden käyttämää vertaisverkko-kerrosta. Ongelma on nyt korjattu ja julkaistu GitHubissa CVE-2026-34219 -tunnuksella.
Red teaming ja AI-agenttien rooli
Tunnettu käytäntö, jota kutsutaan red teamingiksi, sisältää turvallisuustutkijoiden lähettämisen hyökkäämään omiin järjestelmiinsä, yrittäen paljastaa heikkouksia ennen kuin haitalliset hakkerit löytävät ne. Kun red teamit hyökkäävät järjestelmään, sinisten tiimien tehtävänä on puolustaa sitä.
Perinteisesti ihmisetutkijat ovat etsineet haavoittuvuuksia tarkastelemalla koodia manuaalisesti, mutta AI-agentit voivat skannata koko koodipohjan, testata mahdollisia hyökkäyksiä ja tuottaa havaintoja tarkastettavaksi.
”Agenttien löytämät virheet eivät olleet yllätys,” tiimi kirjoitti. ”Yllätys oli se, kuinka vähän työtä niiden löytämiseen meni ja kuinka paljon todelliset virheet erottuivat niistä, jotka vain näyttivät todellisilta.”
AI-agenttien erikoistuneet roolit
Ethereum Foundationin mukaan agentit on organisoitu erikoistuneisiin rooleihin, kuten tiedusteluun, metsästykseen, aukkojen täyttämiseen ja validointiin. Jotkut etsivät mahdollisia hyökkäysreittejä, kun taas toiset yrittävät toistaa epäonnistumisia varmistaakseen, toimivatko ne tuotantokoodissa.
”Kaaviolla on syynsä,” he kirjoittivat. ”Se pakottaa tiettyyn, testattavaan väitteeseen ja selkeään määritelmään valmiista. Agentti, joka joutuu kirjoittamaan havaittavan todisteen, ei voi turvautua ’tämä näyttää riskiltä’.”
AI:n rooli haavoittuvuustutkimuksessa
AI:n kasvava rooli haavoittuvuustutkimuksessa tuli esiin huhtikuussa, kun Anthropicin Claude Mythos -esiversio löysi 271 haavoittuvuutta Mozillan Firefox-selaimesta. Tutkijat vertasivat AI-agenteja fuzzereihin, eli työkaluihin, jotka testaavat ohjelmistoja virheiden varalta.
Kuitenkin, toisin kuin fuzzereissa, AI-agentit voivat tuottaa haavoittuvuusselvityksiä, arvioida vaikutuksia ja luoda todisteita käsitteleviä testejä. On kuitenkin tärkeää muistaa, että yksityiskohtaisuus ei aina tarkoita oikeellisuutta.
”Yksi sääntö on tärkeämpi kuin mikään muu. Ehdokas ei ole havainto ennen kuin on olemassa itse asiassa oleva artefakti, joka toistaa epäonnistumisen todellista koodia vastaan, ja joka toimii jonkun muun kuin sen kirjoittajan toimesta,” tutkijat kirjoittivat. ”Toistaja ei lue kirjoitusta, eikä se välitä siitä, kuinka itsevarmalta malli kuulosti. Se joko toimii tai ei toimi.”
AI-työkalujen vaikutus
AI-työkalut ovat jo auttaneet turvallisuustutkijoita löytämään puutteita lohkoketjuverkoista. Toukokuussa turvallisuustutkija Taylor Hornby käytti Anthropicin Claude Opus 4.8:aa AI-avusteisessa tarkastuksessa, joka löysi kriittisen haavoittuvuuden Zcashin Orchard-yksityisyysaltaasta. Tämä puute oli ollut olemassa noin neljä vuotta ja olisi voinut sallia hyökkääjän luoda väärennettyä ZEC:tä ilman ilmeistä on-chain-jälkeä.
Verkon päivitys Zcashin tarjonnan palauttamiseksi on edelleen työn alla. Ethereum Foundationin kokeilu tuo teknologian talon sisälle, käyttäen AI-agenteja testatakseen omaa koodiaan haavoittuvuuksien löytämiseksi.
”AI ei korvannut turvallisuustutkijaa. Se siirsi työn,” Ethereum Foundation totesi. ”Agentit antavat meidän kattaa paljon enemmän maata kuin mitä voisimme käsin. Vastineeksi he pyytävät tarkempaa arviointia, paljon suuremmasta itsevarmalta kuulostavien väitteiden kasasta.”
”Se on kauppa, joka kannattaa tehdä,” he lisäsivät, ”niin kauan kuin muistat, että arviointi on todellinen tuote.”