ru
Назад к списку

Ethereum Foundation использовала ИИ-агентов для поиска багов в протоколе

source-logo  forklog.com 1 ч
image

Команда Protocol Security в составе Ethereum Foundation (EF) запустила координированных ИИ-агентов против критических компонентов инфраструктуры блокчейна. Они проверяли системное ПО, криптографический код и смарт-контракты.

The Protocol Security Team has been pointing AI agents at Ethereum’s protocol code. Our core takeaway wasn't about finding bugs, it was about triage.

Here are field notes from the work.https://t.co/HVtc8XcrJK

— Ethereum Foundation (@ethereumfndn) July 9, 2026

«Агенты находят баги — это не было сюрпризом. Сюрпризом оказалось то, как мало работы ушло на их поиск и как много — на отделение реальных багов от тех, что лишь выглядели реальными», — заявили в EF.

В команде подчеркнули, что ИИ не убрал людей из процесса проверки безопасности. Он лишь сместил узкое место: раньше исследователи тратили много времени на поиск гипотез, теперь — на проверку большого числа сгенерированных кандидатов.

Как устроена система

Protocol Security отказалась от схемы, в которой один большой ИИ-агент управляет всем процессом. Вместо этого команда использовала несколько специализированных систем, которые параллельно работают против одного репозитория. Одни отвечали за первичную разведку кода, другие — за поиск потенциальных уязвимостей, заполнение пробелов и валидацию. Они координируются через общий репозиторий и обмениваются состоянием через систему контроля версий.

«Время, которое раньше уходило на формирование и проверку гипотез, теперь уходит на их оценку в масштабе: построение оракула, триаж, ведение списка известных проблем и раскрытие», — написали в EF.

По словам исследователей, агенты хорошо подходят для генерации направлений поиска. Они могут быстро просматривать большие участки кода, трассировать пути исполнения и готовить материалы для proof-of-concept. Но каждый кандидат все равно должен быть независимо воспроизведен на реальном коде, прежде чем его можно считать уязвимостью.

Что нашли агенты

Публично раскрытый пример — уязвимость CVE-2026-34219 в Rust-реализации libp2p gossipsub. Она связана с обработкой backoff expiry — периода, в течение которого узел временно ограничивает взаимодействие с пиром после определенных сетевых сообщений.

Уязвимость позволяла удаленно вызвать аварийное завершение процесса при обработке специально сформированного PRUNE-сообщения с почти максимальным значением backoff. Ошибка возникала из-за непроверенной арифметики при сложении Instant + Duration, что могло приводить к переполнению.

При этом в EF не раскрыли, сколько всего реальных багов обнаружили агенты. В блоге говорится о нескольких находках, но публично назван только один пример.

Журналисты The Block обратили внимание, что большинство найденных ИИ-агентами кандидатов оказались ложноположительными, дублями или проблемами вне рамок проверки. В EF назвали это нормальной частью метода, а не провалом системы.

«Цель в том, чтобы быстро отбрасывать неверные и подкреплять реальные доказательством, с которым трудно спорить», — заявили в организации.

По словам команды, ИИ-агенты хуже справляются с уязвимостями, которые проявляются только через длинную цепочку корректных действий. Такая логика требует не только найти подозрительный фрагмент кода, но и доказать, что вся последовательность состояний действительно достижима.

Публикация EF вышла на фоне проходящей в фонде широкой реорганизации. В июне организация сократила штат на 20% и представила обновленную структуру управления. Одновременно сооснователь Ethereum Виталик Бутерин сообщил, что фонд урезает бюджет примерно на 40%, переходя к модели долгосрочного управления капиталом.

По данным журналиста Колина Ву, расформирована команда Protocol Support. Она занималась координацией процесса разработки протокола Ethereum, включая отслеживание обновлений сети, поддержку EIP, программу Ethereum Protocol Fellowship, а также образовательные, общественные и инфраструктурные инициативы, связанные с этим.

В марте Ethereum Foundation закрепила принцип минимального вмешательства в развитие сети. Позднее организация подготовила план квантовой защиты сети к 2029 году и пересмотрела роль L2-сетей в экосистеме.

Конец эпохи «дешевого эфира»: почему Бутерин переписывает будущее L2 и кто останется за бортом

Напомним, в июне экс-сотрудник EF Трент Ван Эппс предупредил, что экосистема Ethereum в ближайшие три-девять месяцев может столкнуться с «медленно нарастающим кризисом финансирования».

forklog.com