AI发现漏洞难验证:以太坊基金会揭示安全新挑战

以太坊 2026-07-10 06:05:16
核心提要:以太坊基金会披露,尽管AI代理成功识别出真实漏洞(如CVE-2026-34219),但验证过程耗时远超生成报告阶段。团队强调人工复现与可证伪性仍是安全判定的核心。

AI生成漏洞报告的验证成本远超发现本身

以太坊基金会指出,当前最紧迫的挑战并非发现新缺陷,而是如何高效甄别有效报告与高误报率的假阳性结果。近期实验中,AI代理在libp2p协议栈中定位到一个可远程触发panic的漏洞,后被正式认定为CVE-2026-34219,该问题已修复。

多智能体协同过滤无效发现,构建可信报告链

为提升可靠性,基金会部署多个自主运行的AI代理并行处理同一代码库,各代理分担侦察、狩猎、补缺与验证等环节。它们通过版本控制系统共享状态,实现去中心化协作,避免重复劳动,并动态更新已知问题清单。

真实重现是唯一合法漏洞的基石

所有被采纳的漏洞报告必须满足严格标准:明确可达攻击路径、定义清晰的安全不变量、解释失效机制、提供可观测证据、包含自包含复现程序,并附带唯一去重标识。基金会强调,未经真实代码环境验证的报告一律无效,尤其排除基于调试模式崩溃或形式化证明中逻辑空转的结论。

此外,最终候选者还需评估其实际可利用性——对全网节点开放的漏洞与需特殊权限或极端资源条件才能触发的问题,在风险等级上存在本质差异。基金会指出,AI在判断复杂交互序列中的隐蔽漏洞时仍表现不稳定,更适合作为有状态测试框架的辅助工具,而非替代人类专家。

上一篇 Eightco财库曝光:押注AI与链上身...
下一篇 Aave突破91美元:新基础设施驱动上涨...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U