Ethereum despliega agentes de seguridad de IA para detectar errores y descubre un fallo crítico en la red

Ethereum Foundation utiliza agentes de IA para detectar errores en los protocolos, y afirma que la revisión humana sigue siendo crítica

Last Updated:
Ethereum Foundation utiliza agentes de IA para detectar errores en los protocolos, y afirma que la revisión humana sigue siendo crítica
  • La Fundación Ethereum utilizó agentes de IA coordinados para identificar una vulnerabilidad real en el protocolo.
  • Validar los informes de errores generados por IA ahora requiere más esfuerzo que encontrar vulnerabilidades.
  • La Fundación gestiona múltiples agentes de IA con roles especializados, según una entrada del blog del 9 de julio.

La Fundación Ethereum ha revelado que su equipo de Seguridad de Protocolos está utilizando agentes de IA coordinados para auditar la infraestructura central de Ethereum, detectando vulnerabilidades reales de software y añadiendo que la verificación humana sigue siendo la parte más importante del proceso.

En un blog técnico publicado el 9 de julio, la Fundación afirmó que los agentes de IA se están desplegando contra software de sistemas, bibliotecas criptográficas y contratos inteligentes que soportan el protocolo de Ethereum.

Un descubrimiento confirmado fue un pánico remotamente activable en el componente de red Gossipsub de libp2p, que es utilizado por los clientes de consenso de Ethereum para la comunicación entre pares. El problema ya ha sido parcheado y hecho público como CVE-2026-34219, con el equipo de Seguridad de Protocolo acreditado por el descubrimiento.

La Fundación dijo que encontrar insectos no era la parte difícil. Determinar qué informes generados por IA representaban problemas reales de seguridad requirió un esfuerzo significativamente mayor.

La IA genera clientes potenciales, los humanos toman la decisión final

Según la Fundación, los agentes de IA deberían ser tratados como asistentes de investigación y no como expertos en seguridad.

En lugar de decidir si existe una vulnerabilidad, los agentes buscan en grandes bases de código, sugieren posibles rutas de ataque, preparan informes de vulnerabilidades y generan código de prueba de concepto que los investigadores pueden probar.

La Fundación comparó el sistema con las herramientas tradicionales de difusión, excepto que los agentes de IA producen explicaciones detalladas junto con posibles vulnerabilidades en lugar de solo registros de fallos. Sin embargo, advirtió que el número de informes generados no es una medida útil del éxito.

Muchos hallazgos de IA resultan ser informes duplicados, rutas de ataque inalcanzables, fallos solo de depuración o demostraciones matemáticas que técnicamente pasan pero no demuestran un problema real de seguridad.

Por esa razón, cada candidato debe ser verificado de forma independiente antes de que se considere una vulnerabilidad legítima.

El sistema multiagente divide la obra

En lugar de depender de un solo modelo de IA, la Fundación Ethereum ejecuta múltiples agentes especializados contra el mismo repositorio al mismo tiempo.

Los agentes de reconocimiento identifican posibles superficies de ataque y las convierten en hipótesis comprobables. Los agentes de caza rastrean esas ideas a través del código e intentan construir exploits de prueba de concepto funcionales. Los agentes que rellenan huecos supervisan los hallazgos aceptados y rechazados para evitar trabajos duplicados, mientras que los agentes de validación revisan cada informe de forma independiente antes de que avance.

En lugar de usar un controlador central, los agentes se comunican a través de repositorios compartidos de control de versiones, permitiendo que cada agente se base en trabajos previos manteniendo la verificación independiente.

La Fundación afirmó que cada informe aceptado debe identificar un punto de entrada real al ataque, explicar la propiedad de seguridad que se está violando, describir el mecanismo de fallo, proporcionar evidencia observable, incluir un reproductor autónomo que funcione según código de producción y contener una clave de deduplicación.

La reproducibilidad es el requisito principal

La Fundación afirmó que no se acepta ninguna vulnerabilidad a menos que otro investigador pueda reproducirla contra el software real.

Este requisito filtra los informes basándose en rutas de ejecución imposibles, fallos que solo ocurren en compilaciones de desarrollo o resultados de verificación formal que parecen correctos sin demostrar una propiedad de seguridad significativa.

Los investigadores también evalúan si un atacante puede explotar de forma realista el problema. Las vulnerabilidades que cualquier participante de la red puede activar reciben un tratamiento diferente al de aquellas que requieren acceso privilegiado o recursos informáticos poco realistas.

La Fundación añadió que los modelos de IA siguen siendo inconsistentes al evaluar la gravedad de los exploits o vulnerabilidades que solo surgen tras una secuencia de acciones válidas. En esos casos, la IA rinde mejor como asistente que como sustituta de investigadores experimentados en seguridad.

Relacionado: La Fundación Ethereum renova el liderazgo para impulsar la descentralización

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.