InicioCentro de noticias de LBank
La Fundación Ethereum despliega IA en la red ETH para detectar vulnerabilidades antes que los hackers.
ethereum-foundation-turns-ai-loose-find-bugs-before-hackers
La Fundación Ethereum despliega IA en la red ETH para detectar vulnerabilidades antes que los hackers.
Los investigadores de Ethereum están utilizando agentes de IA para buscar vulnerabilidades, lo que reorienta el trabajo de seguridad de la identificación de fallos a la demostración de cuáles son reales.
2026-07-09 Fuente:decrypt.co

En resumen

  • Investigadores de la Ethereum Foundation están utilizando agentes de IA para realizar 'red-teaming' en infraestructura crítica de la red.
  • Los agentes ayudaron a descubrir una vulnerabilidad de software peer-to-peer que fue revelada posteriormente.
  • Auditorías asistidas por IA ya han sacado a la luz errores en proyectos blockchain, incluido Zcash.

La Ethereum Foundation está utilizando enjambres de agentes de IA para atacar Ethereum, antes de que lo haga otra persona.

En una publicación de blog el jueves, investigadores de la Ethereum Foundation del equipo de Seguridad de Protocolos dijeron que han desplegado una serie de agentes de IA contra el software en el que se basa Ethereum, buscando vulnerabilidades en sistemas criptográficos, código de protocolo y contratos inteligentes.

“Hemos estado ejecutando agentes de IA coordinados contra los tipos de sistemas de los que depende la red, como software de sistemas, código criptográfico y contratos que tienen que ser correctos”, escribieron los investigadores. “Los agentes encontraron errores reales.”

Uno de los errores descubiertos incluyó un pánico activado remotamente en gossipsub de libp2p, parte de la capa peer-to-peer utilizada por los clientes de consenso de Ethereum. El problema fue corregido y divulgado en Github como CVE-2026-34219.

Conocido como 'red teaming', la práctica implica que las empresas desplieguen investigadores de seguridad para atacar sus propios sistemas, intentando infiltrar o interrumpir redes para descubrir debilidades antes de que las encuentren hackers maliciosos. Mientras que los 'red teams' atacan un sistema, depende de los 'blue teams' defenderlo.

Los investigadores humanos tradicionalmente han buscado vulnerabilidades revisando el código manualmente, pero los agentes de IA pueden escanear bases de código completas, probar posibles exploits y generar hallazgos para su revisión.

“Que los agentes encontraran errores no fue la sorpresa”, escribió el equipo. “La sorpresa fue lo poco del trabajo que se dedicó a encontrarlos, y cuánto se dedicó a distinguir los errores reales de los que solo parecían reales.”

Según la Ethereum Foundation, los agentes se organizan en roles especializados, que incluyen reconocimiento, búsqueda, relleno de huecos y validación. Algunos buscan posibles rutas de ataque, mientras que otros intentan reproducir fallos y verificar si funcionan contra el código de producción.

“El esquema existe por una razón”, escribieron. “Fuerza una afirmación específica y comprobable y una definición clara de lo que se considera completado. Un agente que tiene que escribir una prueba observable no puede recurrir a 'esto parece arriesgado'.”

El creciente papel de la IA en la investigación de vulnerabilidades se demostró en abril, cuando una versión preliminar de Claude Mythos de Anthropic descubrió 271 vulnerabilidades en el navegador Firefox de Mozilla.

Los investigadores compararon los agentes de IA con los fuzzers, o herramientas que prueban el software en busca de fallos. Sin embargo, a diferencia de los fuzzers, los agentes de IA pueden generar informes de vulnerabilidad, evaluar el impacto y crear pruebas de concepto.

Pero detallado no siempre significa correcto. Los hallazgos generados por IA pueden parecer convincentes incluso cuando son incorrectos, lo que obliga a los investigadores a filtrar duplicados, falsos positivos y vulnerabilidades que en realidad no pueden ser explotadas.

"Una regla es más importante que cualquier otra. Un candidato no es un hallazgo hasta que existe un artefacto autocontenido que reproduce el fallo contra el código real y que funciona para alguien que no lo escribió", escribieron los investigadores. "El reproductor no lee la descripción y no le importa cuán seguro sonaba el modelo. Simplemente funciona o no funciona."

Las herramientas de IA ya han ayudado a los investigadores de seguridad a descubrir fallos en las redes blockchain.

En mayo, el investigador de seguridad Taylor Hornby utilizó Claude Opus 4.8 de Anthropic durante una auditoría asistida por IA que encontró una vulnerabilidad crítica en el pool de privacidad Orchard de Zcash. El fallo había existido durante aproximadamente cuatro años y podría haber permitido a un atacante crear ZEC falsificados sin un rastro obvio en la cadena. Una actualización de la red para restaurar la confianza en el suministro de Zcash aún está en proceso.

El experimento de la Ethereum Foundation lleva la tecnología internamente, utilizando agentes de IA para probar su propio código en busca de vulnerabilidades.

“La IA no reemplazó al investigador de seguridad. Movió el trabajo”, dijo la Ethereum Foundation. “Los agentes nos permiten cubrir mucho más terreno de lo que podríamos hacerlo manualmente. A cambio, requieren un juicio más cuidadoso, entre una pila mucho mayor de afirmaciones que suenan convincentes.”

“Es un intercambio que vale la pena”, agregaron, “siempre y cuando recuerdes que el juicio es el verdadero producto.”