以太坊基金會協議安全團隊針對網路核心基礎設施部署協調式AI代理,在共識客戶端所使用的點對點層中發現了一項可遠端利用的漏洞。
以太坊基金會協議安全團隊針對網路核心基礎設施部署協調式AI代理,在共識客戶端所使用的點對點層中發現了一項可遠端利用的漏洞。

以太坊基金會研究人員針對網路協議程式碼部署了成群AI代理,在共識客戶端所使用的點對點層中發現了一項可遠端觸發的漏洞。
「這些代理確實找到了真正的漏洞,」協議安全團隊在週四的部落格文章中寫道。「令人驚訝的是,投入在發現漏洞上的工作很少,反而是花費大量精力去區分哪些是真實漏洞,哪些只是看似真實。」
該漏洞是libp2p的gossipsub中一個可遠端觸發的panic,已被修復並披露為CVE-2026-34219。這些代理被組織成專門的角色——偵察、獵捕、補缺與驗證——負責掃描程式碼庫、測試漏洞利用方式,並生成發現供人類審查。團隊將此方法比擬為模糊測試,但指出AI代理能生成漏洞報告、評估影響範圍並創建概念驗證測試,這與傳統自動化工具截然不同。
這項實驗改變了安全工作的經濟模式:AI代理覆蓋的程式碼量遠超人類研究人員手動處理的範圍,但瓶頸從發現漏洞轉移到了驗證哪些是真實漏洞。「重現程式不會讀取報告,也不在意模型語氣有多自信,」團隊表示。「它要麼能跑得動,要麼就是不行。」
以太坊基金會的這項做法反映了區塊鏈安全領域的更大趨勢。今年5月,安全研究員Taylor Hornby在AI輔助審計中使用了Anthropic的Claude Opus 4.8,發現了Zcash Orchard隱私池中的一個重大漏洞——該漏洞已存在約四年,可能讓攻擊者在鏈上不留痕跡的情況下偽造ZEC。旨在恢復市場對Zcash供應量信心的網路升級仍在進行中。
今年4月,Anthropic Claude Mythos的預覽版本在Mozilla的Firefox瀏覽器中發現了271個漏洞,證明AI驅動的紅隊演練遠不止於加密貨幣領域。
驗證瓶頸
AI生成的發現即使有誤也可能顯得極具說服力,這讓研究人員不得不過濾重複項目、誤報以及無法利用的問題。以太坊基金會的解決方案是一項嚴格的「可重現性規則」:任何發現若未附帶可在生產程式碼上重現故障、且能讓非撰寫者也能執行的獨立成品,一律不予採納。
「AI並沒有取代安全研究人員,而是轉移了工作內容,」團隊寫道。「代理讓我們的覆蓋範圍遠遠超過手動所能及。作為交換,它們要求我們在大量聽起來信心滿滿的主張中,做出更加審慎的判斷。」
對於以太坊這個每天有數十億美元價值在智能合約上結算的網路而言,風險極高。在惡意攻擊者之前發現協議層級漏洞的能力,可望降低過去從生態系統中盜走數億美元的駭客攻擊的頻率與嚴重性。
本文僅供資訊參考,不構成投資建議。