

以太坊基金会指出,当前在利用人工智能代理检测系统缺陷时,最耗时环节并非发现问题,而是确认其真实性与可复现性。一项实验中,AI代理成功定位了libp2p组件中gossipsub模块的远程触发崩溃问题,该漏洞后被正式认定为CVE-2026-34219并完成修复。
为提升发现质量,基金会采用多代理协同流程,各代理独立执行侦察、狩猎、补缺与验证任务。它们通过版本控制系统共享状态,无需中央协调,实现对同一代码库的分阶段审查。此设计有效避免重复劳动,并增强报告筛选效率。
所有被接受的漏洞报告必须满足严格标准:包括可到达的目标路径、明确的安全不变性定义、失败机制说明、可观测证据、自包含重现器及去重标识。基金会强调,若无法在真实代码环境中复现,即便形式化证明看似严谨,也不能视为有效漏洞。此外,实际可利用性评估也纳入考量,区分普通用户可触发与需特殊条件的缺陷。
团队同时指出,AI在判断漏洞可达性、攻击严重性或依赖复杂交互序列的隐蔽问题上仍表现不稳定。因此,其角色更适合作为有状态测试框架的辅助工具,而非资深安全研究员的替代者。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.