
تستخدم مؤسسة إيثريوم أسرابًا من عملاء الذكاء الاصطناعي لمهاجمة إيثريوم — قبل أن يفعلها أي شخص آخر.
في منشور مدونة يوم الخميس، قال باحثو مؤسسة إيثريوم في فريق أمن البروتوكول إنهم نشروا سلسلة من عملاء الذكاء الاصطناعي ضد البرمجيات التي تعتمد عليها إيثريوم، بحثًا عن ثغرات أمنية في أنظمة التشفير، ورمز البروتوكول، والعقود الذكية.
كتب الباحثون: "لقد قمنا بتشغيل عملاء ذكاء اصطناعي منسقين ضد أنواع الأنظمة التي تعتمد عليها الشبكة، مثل برمجيات الأنظمة، ورمز التشفير، والعقود التي يجب أن تكون صحيحة". وأضافوا: "لقد وجد العملاء أخطاء حقيقية".
إحدى الأخطاء المكتشفة تضمنت توقفًا (panic) يتم تشغيله عن بُعد في gossipsub الخاص بـ libp2p، وهو جزء من طبقة الند للند التي تستخدمها عملاء إجماع إيثريوم. تم إصلاح المشكلة والكشف عنها على GitHub بالرمز CVE-2026-34219.
تُعرف هذه الممارسة بـ "فرق الهجوم التجريبي" (red teaming)، وتتضمن قيام الشركات بنشر باحثين أمنيين لمهاجمة أنظمتها الخاصة، محاولين التسلل أو تعطيل الشبكات للكشف عن نقاط الضعف قبل أن يكتشفها المتسللون الخبثاء. بينما تهاجم فرق الهجوم التجريبي نظامًا ما، فإن الأمر متروك لفرق الدفاع (blue teams) للدفاع عنه.
لطالما بحث الباحثون البشريون عن الثغرات الأمنية من خلال مراجعة الكود يدويًا — لكن عملاء الذكاء الاصطناعي يمكنهم فحص قواعد الأكواد بأكملها، واختبار نقاط الضعف المحتملة، وتوليد النتائج للمراجعة.
كتب الفريق: "لم يكن اكتشاف العملاء للأخطاء هو المفاجأة". وأضاف: "المفاجأة كانت كمية العمل القليلة التي استغرقتها عملية العثور عليها، وكمية العمل الكبيرة التي استغرقتها عملية التمييز بين الأخطاء الحقيقية وتلك التي بدت حقيقية فقط".
وفقًا لمؤسسة إيثريوم، يتم تنظيم العملاء في أدوار متخصصة، بما في ذلك الاستطلاع، والمطاردة، وسد الثغرات، والتحقق. يبحث البعض عن مسارات هجوم محتملة، بينما يحاول آخرون إعادة إنتاج الإخفاقات والتحقق مما إذا كانت تعمل ضد كود الإنتاج.
كتبوا: "المخطط موجود لسبب ما". "إنه يفرض ادعاءً محددًا وقابلًا للاختبار وتعريفًا واضحًا لما تم إنجازه. العميل الذي يجب عليه تدوين دليل ملموس لا يمكنه الاعتماد على "هذا يبدو محفوفًا بالمخاطر"."
تم إثبات الدور المتزايد للذكاء الاصطناعي في أبحاث الثغرات الأمنية في أبريل، عندما اكتشفت نسخة معاينة من Claude Mythos من Anthropic 271 ثغرة أمنية في متصفح Firefox من Mozilla.
قارن الباحثون عملاء الذكاء الاصطناعي بـ "المفززات" (fuzzers)، أو الأدوات التي تختبر البرمجيات بحثًا عن العيوب. ومع ذلك، على عكس المفززات، يمكن لعملاء الذكاء الاصطناعي إنشاء تقارير الثغرات الأمنية، وتقييم التأثير، وإنشاء اختبارات إثبات المفهوم.
لكن التفاصيل لا تعني دائمًا الصواب. يمكن أن تبدو النتائج التي يولدها الذكاء الاصطناعي مقنعة حتى عندما تكون خاطئة، مما يترك الباحثين لتصفية التكرارات، والإيجابيات الخاطئة، والثغرات الأمنية التي لا يمكن استغلالها بالفعل.
كتب الباحثون: "هناك قاعدة واحدة أهم من أي قاعدة أخرى. لا تُعد النتيجة اكتشافًا حتى يكون هناك أثر مستقل يعيد إنتاج الفشل مقابل الكود الحقيقي، ويعمل لشخص لم يكتبه". "لا يقرأ مُعيد الإنتاج الوصف، ولا يهتم بمدى ثقة النموذج في كلامه. إما أن يعمل أو لا يعمل."
لقد ساعدت أدوات الذكاء الاصطناعي بالفعل باحثي الأمن في الكشف عن عيوب في شبكات البلوك تشين.
في مايو، استخدم باحث الأمن تايلور هورنبي Claude Opus 4.8 من Anthropic خلال تدقيق مدعوم بالذكاء الاصطناعي وجد ثغرة أمنية حرجة في مجمع الخصوصية Orchard الخاص بـ Zcash. كانت هذه الثغرة موجودة لمدة أربع سنوات تقريبًا وكان من الممكن أن تسمح لمهاجم بإنشاء عملات ZEC مزيفة دون أثر واضح على السلسلة. ولا يزال العمل جاريًا على ترقية للشبكة لاستعادة الثقة في معروض Zcash.
تجربة مؤسسة إيثريوم تجلب التكنولوجيا داخليًا، باستخدام عملاء الذكاء الاصطناعي لاختبار كودها الخاص للعثور على الثغرات الأمنية.
قالت مؤسسة إيثريوم: "لم يحل الذكاء الاصطناعي محل باحث الأمن. بل نقل العمل". وأضافت: "يسمح لنا العملاء بتغطية مساحة أكبر بكثير مما يمكننا تغطيته يدويًا. وفي المقابل، يطلبون حكمًا أكثر دقة، عبر كومة أكبر بكثير من الادعاءات التي تبدو واثقة."
وأضافوا: "إنها مقايضة تستحق العناء، طالما تتذكر أن الحكم هو المنتج الحقيقي."