
بنیاد اتریوم فاش کرده است که بزرگترین چالش در تحقیقات امنیتی با کمک هوش مصنوعی، اثبات اصالت آسیبپذیریهای گزارششده است، نه یافتن باگهای احتمالی.
به گفته تیم امنیت پروتکل بنیاد اتریوم، آزمایشهای اخیر با عوامل هماهنگشده هوش مصنوعی، نقاط ضعف نرمافزاری واقعی را در سیستمهایی که اتریوم به آنها وابسته است، کشف کرده است، اما این سازمان اعلام کرد که بخش عمدهای از تلاشها اکنون صرف تفکیک یافتههای معتبر از نتایج مثبت کاذب قانعکننده میشود.
این تیم نتایج را در یک پست فنی تشریح کرد که توضیح میدهد چگونه عوامل هوش مصنوعی را در برابر نرمافزار سیستمها، کتابخانههای رمزنگاری و قراردادهای هوشمند با اطمینان بالا آزمایش کرده است.
یکی از کشفهای تأیید شده شامل یک panic قابل فعالسازی از راه دور در جزء gossipsub از libp2p بود که بخشی از لایه شبکه همتا به همتا مورد استفاده توسط کلاینتهای اجماع اتریوم را تشکیل میدهد. بنیاد اتریوم اعلام کرد که این آسیبپذیری رفع شده و سپس با عنوان CVE-2026-34219 افشا شد.
به جای در نظر گرفتن عوامل هوش مصنوعی به عنوان تصمیمگیرنده، این بنیاد اعلام کرد که آنها باید به عنوان ابزارهایی دیده شوند که فرضیههایی نیازمند تأیید مستقل تولید میکنند. در حالی که عوامل میتوانند کد منبع را بررسی کنند، مسیرهای اجرا را ردیابی کنند و مواد اثبات مفهوم را آماده کنند، این بنیاد اعلام کرد که آنها همچنین گزارشهایی بر اساس کدهای غیرقابل دسترس، مسائل تکراری شناخته شده، خرابیهای فقط-اشکالزدایی یا اثباتهای رسمی ضعیف که نتوانند یک مشکل امنیتی واقعی را نشان دهند، تولید میکنند.
این تیم اعلام کرد که یافته غیرمنتظره این نبود که هوش مصنوعی بتواند باگها را شناسایی کند، بلکه این بود که اعتبارسنجی آن گزارشها زمان بسیار بیشتری نسبت به تولید آنها صرف کرد.
برای کاهش یافتههای غیرقابل اعتماد، بنیاد اتریوم اعلام کرد که چندین عامل هوش مصنوعی را در برابر یک مخزن نرمافزاری واحد به کار میگیرد، که هر عامل مرحله متفاوتی از فرآیند بررسی را بر عهده دارد. به جای اتکا به یک هماهنگکننده مرکزی، عوامل از طریق خود مخزن با به اشتراک گذاشتن وضعیت در کنترل نسخه، اطلاعات را مبادله میکنند.
به گفته این بنیاد، گردش کار با شناسایی (reconnaissance) آغاز میشود، جایی که سطوح حمله گسترده به ایدههای قابل آزمایش خاص محدود میشوند. سپس عوامل شکار (Hunting agents) هر فرضیه را در کد دنبال میکنند و سعی میکنند یک بازتولیدکننده (reproducer) عملی بسازند. عوامل پرکننده شکاف (Gap-filling agents) گزارشهای پذیرفته شده و رد شده را پیگیری میکنند تا از تکرار کارهای قبلی جلوگیری کنند، در حالی که عوامل اعتبارسنجی (validation agents) به طور مستقل هر نامزد را بررسی میکنند، موارد تکراری را حذف میکنند و تعیین میکنند که آیا یک گزارش به عنوان یک آسیبپذیری مشروع واجد شرایط است یا خیر.
این بنیاد اعلام کرد که هر گزارش پذیرفته شده باید هدف قابل دسترسی را شناسایی کند، یک ناوردا (invariant) امنیتی روشن را تعریف کند، مکانیسم شکست را توضیح دهد، شواهد قابل مشاهده ارائه دهد، یک بازتولیدکننده مستقل را شامل شود و یک کلید حذف تکرار داشته باشد. این الزامات برای اطمینان از این است که هر ادعایی بتواند مستقیماً در برابر کد تولیدی آزمایش شود.
در مرکز این فرآیند، بنیاد اتریوم گفت که یک اصل بر همه چیز اولویت دارد: یک آسیبپذیری معتبر نیست مگر اینکه فردی غیر از عامل گزارشدهنده بتواند آن را در برابر کدبیس واقعی بازتولید کند. به گفته این بنیاد، این الزام گزارشهایی را که حول مسیرهای حمله غیرممکن، خرابیهای فقط-اشکالزدایی، یا نتایج تأیید رسمی که از نظر ریاضی صحیح به نظر میرسند اما خاصیت امنیتی معناداری را اثبات نمیکنند، حذف میکند.
فراتر از اعتبارسنجی فنی، این بنیاد اعلام کرد که نامزدهای باقیمانده نیز برای قابلیت بهرهبرداری عملی ارزیابی میشوند. نقصانی که هر شرکتکننده شبکه بتواند آن را فعال کند، پیامدهای امنیتی متفاوتی نسبت به نقصانی دارد که نیازمند دسترسی ویژه یا منابع محاسباتی غیرواقعی است.
این بنیاد افزود که عوامل هوش مصنوعی ناسازگار باقی میمانند، در قضاوت قابلیت دسترسی بهرهبرداری، شدت حمله، یا آسیبپذیریهایی که تنها از طریق توالیهای طولانی از تعاملات معتبر پدیدار میشوند. در این شرایط، این بنیاد گفت که عوامل به عنوان دستیار برای چارچوبهای تست stateful بهتر عمل میکنند تا جایگزینی برای محققان امنیتی با تجربه.
آخرین به روزرسانی امنیتی تنها چند هفته پس از تکمیل بازسازی داخلی عمده توسط بنیاد اتریوم منتشر میشود. در یک اعلامیه ۲۳ ژوئن، این سازمان اعلام کرد که نیروی کار خود را حدود ۲۰ درصد کاهش داده است، با خروج ۵۴ کارمند پس از بررسی چند ماهه تحت سیاست مدیریت اختیارات و خزانهداری خود.
به گفته این بنیاد، هدف از این بازسازی، تمرکز کارکنان و منابع بر مسئولیتهایی بود که تنها این سازمان میتواند انجام دهد، در حالی که توسعه بلندمدت اتریوم را ادامه میدهد.