- Ethereum Foundation menggunakan agen AI terkoordinasi untuk mengidentifikasi kerentanan protokol nyata.
- Memvalidasi laporan bug yang dihasilkan AI sekarang membutuhkan lebih banyak usaha daripada menemukan kerentanan.
- Yayasan menjalankan beberapa agen AI dengan peran khusus, sesuai posting blog 9 Juli.
Ethereum Foundation telah mengungkapkan bahwa tim Keamanan Protokolnya menggunakan agen AI terkoordinasi untuk mengaudit infrastruktur inti Ethereum, menemukan kerentanan perangkat lunak nyata sambil menambahkan bahwa verifikasi manusia tetap menjadi bagian terpenting dari proses tersebut.
Dalam sebuah blog teknis yang diterbitkan pada 9 Juli, Yayasan mengatakan agen AI sedang digunakan terhadap perangkat lunak sistem, perpustakaan kriptografi, dan kontrak pintar yang mendukung protokol Ethereum.
Salah satu penemuan yang dikonfirmasi adalah kepanikan yang dapat dipicu dari jarak jauh dalam komponen jaringan Gossipsub libp2p, yang digunakan oleh klien konsensus Ethereum untuk komunikasi peer-to-peer. Masalah ini telah ditambal dan diungkapkan secara publik sebagai CVE-2026-34219, dengan tim Keamanan Protokol dikreditkan untuk penemuan tersebut.
Yayasan mengatakan menemukan serangga bukanlah bagian yang sulit. Menentukan laporan mana yang dihasilkan AI yang mewakili masalah keamanan asli membutuhkan lebih banyak usaha yang signifikan.
AI Menghasilkan Prospek, Manusia Membuat Keputusan Akhir
Menurut Yayasan, agen AI harus diperlakukan sebagai asisten peneliti daripada ahli keamanan.
Alih-alih memutuskan apakah kerentanan ada, agen mencari basis kode besar, menyarankan kemungkinan jalur serangan, menyiapkan laporan kerentanan dan menghasilkan kode bukti konsep yang dapat diuji oleh peneliti.
Yayasan membandingkan sistem dengan alat fuzzing tradisional, kecuali agen AI menghasilkan penjelasan terperinci di samping potensi kerentanan alih-alih hanya log crash. Namun, ia memperingatkan bahwa jumlah laporan yang dihasilkan bukanlah ukuran keberhasilan yang berguna.
Banyak temuan AI ternyata adalah laporan duplikat, jalur serangan yang tidak dapat dijangkau, crash debug saja, atau bukti matematis yang secara teknis lulus tetapi gagal menunjukkan masalah keamanan yang nyata.
Untuk alasan itu, setiap kandidat harus diverifikasi secara independen sebelum dianggap sebagai kerentanan yang sah.
Sistem Multi-Agen Membagi Pekerjaan
Alih-alih mengandalkan satu model AI, Ethereum Foundation menjalankan beberapa agen khusus terhadap repositori yang sama pada saat yang bersamaan.
Agen pengintai mengidentifikasi kemungkinan permukaan serangan dan mengubahnya menjadi hipotesis yang dapat diuji. Agen pemburu melacak ide-ide tersebut melalui kode dan mencoba membangun eksploitasi proof-of-concept yang berfungsi. Agen pengisi kesenjangan memantau temuan yang diterima dan ditolak untuk mencegah pekerjaan duplikat, sementara agen validasi secara independen meninjau setiap laporan sebelum dilanjutkan.
Alih-alih menggunakan pengontrol pusat, agen berkomunikasi melalui repositori kontrol versi bersama, memungkinkan setiap agen untuk membangun pekerjaan sebelumnya sambil mempertahankan verifikasi independen.
Yayasan mengatakan setiap laporan yang diterima harus mengidentifikasi titik masuk serangan nyata, menjelaskan properti keamanan yang dilanggar, menjelaskan mekanisme kegagalan, memberikan bukti yang dapat diamati, menyertakan reproduksi mandiri yang bekerja pada kode produksi, dan berisi kunci deduplikasi.
Reproduktifitas adalah persyaratan utama
Yayasan mengatakan tidak ada kerentanan yang diterima kecuali peneliti lain dapat mereproduksinya terhadap perangkat lunak yang sebenarnya.
Persyaratan ini memfilter laporan berdasarkan jalur eksekusi yang tidak mungkin, error yang hanya terjadi dalam build pengembangan, atau hasil verifikasi formal yang tampak benar tanpa membuktikan properti keamanan yang bermakna.
Para peneliti juga mengevaluasi apakah penyerang dapat mengeksploitasi masalah secara realistis. Kerentanan yang dapat dipicu oleh setiap peserta jaringan menerima perlakuan yang berbeda dari yang memerlukan akses istimewa atau sumber daya komputasi yang tidak realistis.
Yayasan menambahkan bahwa model AI tetap tidak konsisten saat mengevaluasi tingkat keparahan eksploitasi atau kerentanan yang muncul hanya setelah urutan tindakan yang valid. Dalam kasus tersebut, AI berkinerja lebih baik sebagai asisten daripada sebagai pengganti peneliti keamanan berpengalaman.
Terkait: Ethereum Foundation Merombak Kepemimpinan untuk Meningkatkan Desentralisasi
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.