Команда по безопасности Ethereum Foundation развернула AI-агентов для тестирования критической инфраструктуры сети, о чём сообщила в блоге в четверг. Агентам удалось обнаружить несколько уязвимостей, включая удалённо вызываемый панический сбой в libp2p gossipsub, раскрытый как CVE-2026-34219 на Github. Тестирование безопасности с помощью ИИ отражает внедрение практик красных команд, при которых организации атакуют собственные системы, чтобы выявить слабые места до того, как ими воспользуются злоумышленники.
Ethereum Foundation развернула специализированные роли AI-агентов
Ethereum Foundation организовала AI-агентов по специализированным ролям, включая разведку, охоту, устранение пробелов и проверку. Некоторые агенты ищут возможные пути атаки, другие пытаются воспроизвести сбои и проверить их работу на рабочем коде. Агентам поручили тестировать системное программное обеспечение, криптографический код и смарт-контракты, от которых зависит сеть Ethereum.
Исследователи отметили, что обнаружение ошибок агентами не стало сюрпризом, но распределение работы — да. «Удивительно было, насколько мало работы ушло на их обнаружение и сколько — на различие настоящих ошибок от тех, что казались реальными», — заявила команда в блоге.
AI-агенты обнаружили уязвимость libp2p CVE-2026-34219
Одна из уязвимостей, обнаруженных AI-агентами, — удалённо вызываемый панический сбой в libp2p gossipsub, части слоя peer-to-peer, используемого клиентами Ethereum для консенсуса. Ethereum Foundation исправила проблему и раскрыла её на Github как CVE-2026-34219.
Фонд сравнил AI-агентов с фуззерами — инструментами для тестирования программного обеспечения на наличие ошибок. В отличие от фуззеров, AI-агенты могут генерировать отчёты об уязвимостях, оценивать их влияние и создавать доказательства концепции. Исследователи установили правило валидации/подтверждения: «Кандидат не считается находкой, пока не появится автономный артефакт, воспроизводящий сбой в реальном коде и работающий для человека, не писавшего его».
Модели Anthropic's Claude выявляют уязвимости Firefox и Zcash
Claude Mythos от Anthropic обнаружил 271 уязвимость в браузере Mozilla Firefox в апреле. Исследователь безопасности Тейлор Хорби использовал Claude Opus 4.8 в мае при AI-поддерживаемом аудите, в ходе которого выявил критическую уязвимость в приватном пуле Zcash Orchard.
Уязвимость в Zcash существовала около четырёх лет и могла позволить злоумышленнику создавать поддельные ZEC без очевидной цепочки на блокчейне. Ведутся работы по обновлению сети для восстановления доверия к запасам Zcash, сообщает источник.
Человеческие исследователи подтверждают результаты AI в области безопасности
Результаты, сгенерированные AI, могут казаться убедительными, даже если они неверны, поэтому исследователи вынуждены фильтровать дубли, ложные срабатывания и уязвимости, которые на практике невозможно использовать. Исследователи Ethereum Foundation отметили, что подробные выводы не всегда означают правильные выводы.
«AI не заменил исследователя безопасности. Он переместил работу», — заявили в Ethereum Foundation. «Агенты позволяют охватить гораздо больше, чем мы могли бы вручную. В обмен они требуют более аккуратного суждения, учитывая гораздо больше уверенных заявлений». Команда добавила, что именно суждение — это настоящий продукт процесса безопасности с помощью ИИ.
FAQ
Какую уязвимость обнаружили AI-агенты Ethereum Foundation в libp2p?
AI-агенты обнаружили удалённо вызываемый панический сбой в libp2p gossipsub, части слоя peer-to-peer, используемого клиентами Ethereum для консенсуса. Ethereum Foundation исправила проблему и раскрыла её на Github как CVE-2026-34219.
Сколько уязвимостей обнаружил Claude Mythos от Anthropic в Firefox?
Claude Mythos обнаружил 271 уязвимость в браузере Mozilla Firefox в апреле, демонстрируя растущую роль ИИ в исследовании уязвимостей.
Какие роли выполняют AI-агенты в тестировании безопасности Ethereum?
Ethereum Foundation организовала AI-агентов по ролям: разведка, охота, устранение пробелов и проверка. Некоторые ищут пути атаки, другие воспроизводят сбои и проверяют эксплойты на рабочем коде.