Ethereum implanta agentes de segurança de IA para caçar bugs e descobre falha crítica na rede

Fundação Ethereum usa agentes de IA para identificar bugs de protocolo, diz que revisão humana continua crítica

Last Updated:
Fundação Ethereum usa agentes de IA para identificar bugs de protocolo, diz que revisão humana continua crítica
  • A Ethereum Foundation utilizou agentes de IA coordenados para identificar uma vulnerabilidade real no protocolo.
  • Validar relatórios de bugs gerados pela IA agora exige mais esforço do que encontrar vulnerabilidades.
  • A Fundação mantém múltiplos agentes de IA com funções especializadas, conforme um post no blog de 9 de julho.

A Fundação Ethereum revelou que sua equipe de Segurança de Protocolos está usando agentes de IA coordenados para auditar a infraestrutura central do Ethereum, identificando vulnerabilidades reais de software, além de acrescentar que a verificação humana continua sendo a parte mais importante do processo.

Em um blog técnico publicado em 9 de julho, a Fundação afirmou que os agentes de IA estão sendo implantados contra softwares de sistemas, bibliotecas criptográficas e contratos inteligentes que suportam o protocolo do Ethereum.

Uma descoberta confirmada foi um pânico remotamente acionável no componente de rede Gossipsub do libp2p, que é usado por clientes de consenso Ethereum para comunicação peer-to-peer. A questão já foi corrigida e divulgada publicamente como CVE-2026-34219, com a equipe de Segurança de Protocolo creditada pela descoberta.

A Fundação afirmou que encontrar insetos não era a parte difícil. Determinar quais relatórios gerados por IA representavam problemas reais de segurança exigiu muito mais esforço.

IA gera leads, humanos tomam a decisão final

Segundo a Fundação, agentes de IA devem ser tratados como assistentes de pesquisa, e não como especialistas em segurança.

Em vez de decidir se existe uma vulnerabilidade, os agentes pesquisam grandes bases de código, sugerem possíveis caminhos de ataque, preparam relatórios de vulnerabilidades e geram código de prova de conceito que os pesquisadores podem testar.

A Fundação comparou o sistema às ferramentas tradicionais de fuzzing, exceto que agentes de IA produzem explicações detalhadas junto com possíveis vulnerabilidades, em vez de apenas logs de falhas. No entanto, alertou que o número de relatórios gerados não é uma medida útil de sucesso.

Muitas descobertas de IA acabam sendo relatórios duplicados, caminhos de ataque inacessíveis, travamentos apenas por depuração ou provas matemáticas que tecnicamente passam, mas não demonstram um problema real de segurança.

Por essa razão, todo candidato deve ser verificado de forma independente antes de ser considerado uma vulnerabilidade legítima.

Sistema Multiagente divide o trabalho

Em vez de depender de um único modelo de IA, a Ethereum Foundation executa múltiplos agentes especializados contra o mesmo repositório ao mesmo tempo.

Agentes de reconhecimento identificam possíveis superfícies de ataque e as convertem em hipóteses testáveis. Agentes de caça rastreiam essas ideias pelo código e tentam construir exploits funcionais de prova de conceito. Agentes que preenchem lacunas monitoram os achados aceitos e rejeitados para evitar trabalhos duplicados, enquanto agentes de validação revisam cada relatório de forma independente antes que ele avance.

Em vez de usar um controlador central, os agentes se comunicam por meio de repositórios compartilhados de controle de versões, permitindo que cada agente construa sobre trabalhos anteriores enquanto mantém a verificação independente.

A Fundação afirmou que todo relatório aceito deve identificar um ponto real de entrada de ataque, explicar a propriedade de segurança que está sendo violada, descrever o mecanismo de falha, fornecer evidências observáveis, incluir um reprodutor autônomo que funcione em código de produção e conter uma chave de deduplicação.

A reprodutibilidade é o principal requisito

A Fundação afirmou que nenhuma vulnerabilidade é aceita a menos que outro pesquisador consiga reproduzi-la contra o software real.

Esse requisito filtra relatórios com base em caminhos de execução impossíveis, falhas que só ocorrem em builds de desenvolvimento ou resultados formais de verificação que parecem corretos sem provar uma propriedade de segurança significativa.

Os pesquisadores também avaliam se um atacante pode realisticamente explorar o problema. Vulnerabilidades que qualquer participante da rede pode ativar recebem tratamento diferente daquelas que exigem acesso privilegiado ou recursos computacionais irreais.

A Fundação acrescentou que modelos de IA permanecem inconsistentes ao avaliar a gravidade das explorações ou vulnerabilidades que surgem apenas após uma sequência de ações válidas. Nesses casos, a IA tem um desempenho melhor como assistente do que como substituto de pesquisadores experientes em segurança.

Relacionado: Fundação Ethereum reformula liderança para impulsionar a descentralização

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.