以太坊基金会用AI红队测试代码漏洞

以太坊基金会启动AI驱动的主动渗透测试机制

以太坊基金会协议安全团队于周四发布博客文章,披露其已启用多组人工智能代理,对支撑以太坊运行的核心软件栈展开系统性攻击模拟,涵盖加密算法、协议实现及智能合约逻辑。

AI代理集群分工明确,覆盖漏洞发现全链条

这些自动化实体被划分为侦察、狩猎、补缺与验证等职能模块,分别承担路径探测、故障复现与结果验证任务。部分代理专注于识别潜在攻击入口,另一些则致力于构建可执行的故障重现程序。

首个实证漏洞已修复并公开披露

在测试过程中,一个涉及libp2p库gossipsub组件的远程触发崩溃问题被成功捕获,该缺陷可能影响共识客户端的稳定性。相关问题已被修复,并在GitHub上以CVE-2026-34219编号正式公布。

可复现性成为判定真实漏洞的唯一标准

研究人员强调,仅提出可疑点不足以构成有效发现;所有候选漏洞必须附带一个独立、可运行的验证程序,且无需依赖原始开发者即可执行。这一标准杜绝了“感觉有风险”的模糊判断。

AI生成结果需经严格筛选与人工校验

尽管AI代理能快速生成大量看似可信的报告,但其中包含大量误报和不可利用的假阳性。团队指出,真正耗时的是从海量结论中甄别出具备实际威胁的项目,而非发现本身。

人机协同重塑安全审计范式

以太坊基金会表示,AI并未替代人类专家,而是将工作重心从广度覆盖转向深度判断。通过扩展检测范围,团队得以聚焦于高价值分析,同时强化对模型输出的批判性评估能力。