InicioCentro de noticias de LBank
Fundación Ethereum revela por qué la IA aún falla al encontrar errores reales
ethereum-foundation-reveals-why-ai-fails-finding-bugs
Fundación Ethereum revela por qué la IA aún falla al encontrar errores reales
La Fundación Ethereum afirma que verificar los informes de errores de IA es más difícil que generarlos. Agentes de IA encontraron una vulnerabilidad real en libp2p, que luego fue divulgada como CVE-2026-34219. La Fundación señala que la validación humana y la prueba reproducible siguen siendo esenciales para la seguridad del protocolo.
2026-07-09 Fuente:crypto.news

La Ethereum Foundation ha revelado que el mayor desafío en la investigación de seguridad asistida por IA se ha convertido en probar qué vulnerabilidades reportadas son genuinas, en lugar de encontrar posibles errores.

Resumen
  • La Ethereum Foundation afirma que verificar los informes de errores de la IA es más difícil que generarlos.
  • Agentes de IA encontraron una vulnerabilidad real en libp2p, posteriormente divulgada como CVE-2026-34219.
  • La Fundación dice que la validación humana y la prueba reproducible siguen siendo esenciales para la seguridad del protocolo.

Según el equipo de Seguridad de Protocolo de la Ethereum Foundation, experimentos recientes con agentes de IA coordinados descubrieron fallos de software reales en sistemas de los que depende Ethereum, pero la organización afirmó que la mayor parte del esfuerzo ahora se dedica a separar los hallazgos válidos de los falsos positivos convincentes.

El equipo describió los resultados en una publicación técnica explicando cómo ha estado probando agentes de IA contra software de sistemas, bibliotecas criptográficas y contratos inteligentes de alta seguridad.

Un descubrimiento confirmado implicó un pánico remotamente activable en el componente gossipsub de libp2p, que forma parte de la capa de red peer-to-peer utilizada por los clientes de consenso de Ethereum. La Ethereum Foundation dijo que la vulnerabilidad fue corregida y posteriormente divulgada como CVE-2026-34219.

En lugar de tratar a los agentes de IA como tomadores de decisiones, la Fundación dijo que deben ser vistos como herramientas que generan hipótesis que requieren verificación independiente. Si bien los agentes pueden inspeccionar el código fuente, rastrear rutas de ejecución y preparar material de prueba de concepto, la Fundación dijo que también producen informes basados en código inalcanzable, duplican problemas conocidos, fallos solo de depuración o pruebas formales débiles que no logran demostrar un problema de seguridad real.

El equipo dijo que el hallazgo inesperado no fue que la IA pudiera identificar errores, sino que validar esos informes consumió mucho más tiempo que generarlos.

El flujo de trabajo multiagente filtra informes poco fiables

Para reducir los hallazgos poco fiables, la Ethereum Foundation dijo que despliega múltiples agentes de IA contra el mismo repositorio de software, con cada agente manejando una etapa diferente del proceso de revisión. En lugar de depender de un coordinador central, los agentes intercambian información a través del propio repositorio al compartir el estado en el control de versiones.

Según la Fundación, el flujo de trabajo comienza con el reconocimiento, donde las amplias superficies de ataque se reducen a ideas específicas y comprobables. Los agentes de búsqueda (hunting agents) luego siguen cada hipótesis a través del código e intentan construir un reproductor funcional. Los agentes de relleno de huecos (gap-filling agents) rastrean los informes aceptados y rechazados para evitar repetir trabajos anteriores, mientras que los agentes de validación examinan independientemente a cada candidato, eliminan duplicados y determinan si un informe califica como una vulnerabilidad legítima.

La Fundación dijo que cada informe aceptado debe identificar un objetivo alcanzable, definir un invariante de seguridad claro, explicar el mecanismo de fallo, proporcionar evidencia observable, incluir un reproductor autocontenido y llevar una clave de deduplicación. Estos requisitos tienen como objetivo asegurar que cada afirmación pueda ser probada directamente contra el código de producción.

La validación humana sigue siendo el factor decisivo

En el centro del proceso, la Ethereum Foundation dijo que un principio anula todo lo demás: una vulnerabilidad no cuenta a menos que alguien que no sea el agente informador pueda reproducirla contra el código base real. Según la Fundación, este requisito elimina los informes construidos alrededor de rutas de ataque imposibles, fallos solo de depuración o resultados de verificación formal que parecen matemáticamente correctos sin probar una propiedad de seguridad significativa.

Más allá de la validación técnica, la Fundación dijo que los candidatos supervivientes también se evalúan en cuanto a su explotabilidad práctica. Un fallo que cualquier participante de la red puede activar tiene diferentes implicaciones de seguridad que uno que requiere acceso privilegiado o recursos informáticos poco realistas.

La Fundación añadió que los agentes de IA siguen siendo inconsistentes al juzgar la capacidad de alcance de una explotación, la gravedad de un ataque o las vulnerabilidades que surgen solo a través de largas secuencias de interacciones válidas. En esas situaciones, dijo que los agentes se desempeñan mejor como asistentes para marcos de prueba con estado que como reemplazos de investigadores de seguridad experimentados.

La última actualización de seguridad llega solo semanas después de que la Ethereum Foundation completara una importante reestructuración interna. En un anuncio del 23 de junio, la organización dijo que había reducido su fuerza laboral en aproximadamente un 20%, con 54 empleados que se marcharon después de una revisión de meses bajo su Política de Gestión de Mandato y Tesorería.

Según la Fundación, la reestructuración tenía como objetivo centrar al personal y los recursos en las responsabilidades que solo la organización puede desempeñar, mientras se continúa con el desarrollo a largo plazo de Ethereum.