- La Fondation Ethereum a utilisé des agents d’IA coordonnés pour identifier une véritable vulnérabilité de protocole.
- Valider les rapports de bugs générés par l’IA demande désormais plus d’efforts que de trouver des vulnérabilités.
- La Fondation gère plusieurs agents d’IA avec des rôles spécialisés, selon un article de blog du 9 juillet.
La Fondation Ethereum a révélé que son équipe de sécurité des protocoles utilise des agents d’IA coordonnés pour auditer l’infrastructure centrale d’Ethereum, découvrant de véritables vulnérabilités logicielles tout en précisant que la vérification humaine reste la partie la plus importante du processus.
Dans un blog technique publié le 9 juillet, la Fondation a indiqué que les agents d’IA sont déployés contre des logiciels systèmes, des bibliothèques cryptographiques et des contrats intelligents qui supportent le protocole Ethereum.
Une découverte confirmée a été une panique déclenchable à distance dans le composant réseau Gossipsub de libp2p, utilisé par les clients consensus Ethereum pour la communication pair-à-pair. Le problème a déjà été corrigé et rendu public sous le nom CVE-2026-34219, l’équipe de sécurité des protocoles étant créditée pour la découverte.
La Fondation a déclaré que trouver les insectes n’était pas la partie difficile. Déterminer quels rapports générés par l’IA représentaient de véritables problèmes de sécurité a demandé beaucoup plus d’efforts.
L’IA génère des prospects, les humains prennent la décision finale
Selon la Fondation, les agents de l’IA devraient être traités comme des assistants de recherche plutôt que comme des experts en sécurité.
Au lieu de décider si une vulnérabilité existe, les agents consultent de grandes bases de code, suggèrent des chemins d’attaque possibles, préparent des rapports de vulnérabilités et génèrent du code de preuve de concept que les chercheurs peuvent tester.
La Fondation a comparé le système aux outils traditionnels de fuzzing, sauf que les agents IA produisent des explications détaillées en plus de vulnérabilités potentielles au lieu de seulement des journaux de plantage. Cependant, elle a averti que le nombre de rapports générés n’est pas une mesure utile du succès.
De nombreuses découvertes en IA s’avèrent être des rapports en double, des chemins d’attaque inaccessibles, des plantages uniquement par débogage ou des preuves mathématiques qui passent techniquement mais ne démontrent pas un véritable problème de sécurité.
Pour cette raison, chaque candidat doit être vérifié de manière indépendante avant que cela ne soit considéré comme une vulnérabilité légitime.
Le système multi-agent divise l’œuvre
Plutôt que de s’appuyer sur un seul modèle d’IA, la Fondation Ethereum exécute plusieurs agents spécialisés sur le même dépôt en même temps.
Les agents de reconnaissance identifient les surfaces d’attaque possibles et les transforment en hypothèses vérifiables. Les agents de chasse retracent ces idées à travers le code et tentent de construire des exploits de preuve de concept fonctionnels. Les agents de comblement de lacunes surveillent les résultats acceptés et rejetés afin d’éviter les doublons, tandis que les agents de validation examinent indépendamment chaque rapport avant qu’il ne soit poursuivi.
Au lieu d’utiliser un contrôleur central, les agents communiquent via des dépôts partagés de contrôle de version, permettant à chaque agent de s’appuyer sur le travail précédent tout en maintenant une vérification indépendante.
La Fondation a indiqué que chaque rapport accepté doit identifier un véritable point d’entrée d’attaque, expliquer la propriété de sécurité violée, décrire le mécanisme de défaillance, fournir des preuves observables, inclure un reproducteur autonome fonctionnant selon le code de production, et contenir une clé de déduplication.
La reproductibilité est la principale exigence
La Fondation a indiqué qu’aucune vulnérabilité n’est acceptée à moins qu’un autre chercheur ne puisse la reproduire sur le logiciel réel.
Cette exigence filtre les rapports en fonction de chemins d’exécution impossibles, de plantages qui ne surviennent que lors des compilations de développement, ou des résultats de vérification formelle qui semblent corrects sans prouver une propriété de sécurité significative.
Les chercheurs évaluent également si un attaquant peut exploiter de manière réaliste le problème. Les vulnérabilités que tout participant au réseau peut déclencher reçoivent un traitement différent de ceux nécessitant un accès privilégié ou des ressources informatiques irréalistes.
La Fondation a ajouté que les modèles d’IA restent incohérents lors de l’évaluation de la gravité des exploits ou des vulnérabilités qui n’apparaissent qu’après une séquence d’actions autrement valides. Dans ces cas, l’IA fonctionne mieux en tant qu’assistante que comme remplaçante des chercheurs en sécurité expérimentés.
À lire aussi : Ethereum Foundation remanie son leadership pour renforcer la décentralisation
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.