AI agenti so našli pravo napako v Ethereumu, ki bi lahko sesula validatorje
Ethereum Foundation je pravkar pokazala, kaj se zgodi, ko floto AI agentov usmeriš v kodo, na kateri teče omrežje. Njena ekipa za varnost protokola je 9. julija razkrila, da so usklajeni agenti pomagali odkriti pravo napako, dovolj resno, da je dobila svoj CVE.
Napaka je bila v gossipsubu, delu peer-to-peer plasti, ki jo vsak Ethereum konsenzni odjemalec uporablja za razširjanje blokov in atestacij. Od takrat je popravljena, a poskus pove enako veliko o AI kot o omrežju.
Eno sporočilo, en sesutje
Napaka, vodena kot CVE-2026-34219, je vsakemu neoverjenemu vozlišču omogočila, da pošlje eno samo prirejeno sporočilo, ki je vozlišče prisililo v nemogoč izračun in ga ugasnilo, s čimer je validatorja odklopilo, dokler ga operater ni znova zagnal. Ker se je napadalec lahko znova povezal in sporočilo predvajal, je bilo sesutje poceni ponoviti.
Osnovni vzrok je bil vsakdanji, nepreverjeno aritmetično prekoračenje pri tem, kako je programska oprema obravnavala rutinsko sporočilo o odlogu. Ocenjena je bila kot srednje resna in popravljena v različici libp2p-gossipsub 0.49.4, operaterje pa so pozvali k hitri posodobitvi. Sledila je tudi podobni zaporedni napaki v isti komponenti, namig, da področje potrebuje natančnejši nadzor.
Izdelek je triaža
Zanimivejša ugotovitev je bila o sami AI. Agenti so bili organizirani v vloge, izvidništvo, lov, zapolnjevanje vrzeli in validacija, ter usklajeni prek skupnega repozitorija kode namesto prek osrednjega krmilnika, pristop po vzoru dela s floto agentov.
Ustvarili so ogromno gradiva. En agent je proizvedel približno 1 000 kandidatov in le delček je bil resničen. Približno 86 odstotkov najboljših izborov je preživelo strokovni pregled, a večina označenih težav so bili prepričljivi lažni alarmi, sesutja le v testnih gradnjah, napadi, ki potrebujejo vrednosti, ki jih zunanji ne more dostaviti, in dokazi, ki tehnično držijo, a ne pokažejo ničesar.
Zato je fundacija povzela nauk ne kot število napak, ampak kot potek dela. „AI ni nadomestila varnostnega raziskovalca. Premaknila je delo.“ Ozko grlo se je premaknilo od iskanja težav k razlikovanju resničnih od šuma.
Kaj to pomeni za imetnike
Za vlagatelje v ETH sta dva zaključka. Dobra novica je, da je cevovod deloval, srednje resna napaka v kritični infrastrukturi je bila najdena, popravljena in razkrita brez motenj. Težja resnica je, da je varnostna površina omrežja ogromna, razpršena med številne odjemalce, jezike in odvisnosti.
Metrika, ki jo je zdaj vredno spremljati, je, kako hitro operaterji vozlišč dejansko posodobijo, saj je popravljena napaka, ki jo polovica omrežja ignorira, še vedno živo tveganje. Nič od tega ne spremeni tega, kako hranite sredstvo, a je opomnik, da sta lastno skrbništvo in posodobljena programska oprema pomembna, zato je vredno pregledati najboljše kripto denarnice in vse redno posodabljati.
Širši signal je, da je AI prešla od revizije pametnih pogodb k preučevanju jedrne omrežne kode. Raziskovalcev ni nadomestila. Le veliko večji kup jim je dala v presojo.
Za omrežje, ki varuje stotine milijard dolarjev, se lahko ta premik v tem, kako se napake najdejo, na koncu izkaže za enako pomemben kot ena sama popravljena napaka.