صفحه اصلیمرکز اخبار LBank
بنیاد اتریوم افشا می‌کند چرا هوش مصنوعی همچنان در یافتن باگ‌های واقعی ناتوان است
ethereum-foundation-reveals-why-ai-fails-finding-bugs
بنیاد اتریوم افشا می‌کند چرا هوش مصنوعی همچنان در یافتن باگ‌های واقعی ناتوان است
بنیاد اتریوم می‌گوید تأیید گزارش‌های باگ هوش مصنوعی دشوارتر از تولید آنهاست. عوامل هوش مصنوعی یک آسیب‌پذیری واقعی در libp2p کشف کردند که بعداً با عنوان CVE-2026-34219 افشا شد. این بنیاد می‌گوید که تأیید انسانی و اثبات قابل بازتولید برای امنیت پروتکل ضروری باقی می‌مانند.
2026-07-09 منبع:crypto.news

بنیاد اتریوم فاش کرده است که بزرگترین چالش در تحقیقات امنیتی با کمک هوش مصنوعی، اثبات اصالت آسیب‌پذیری‌های گزارش‌شده است، نه یافتن باگ‌های احتمالی.

خلاصه
  • بنیاد اتریوم می‌گوید تأیید گزارش‌های باگ هوش مصنوعی دشوارتر از تولید آن‌ها است.
  • عوامل هوش مصنوعی یک آسیب‌پذیری واقعی در libp2p پیدا کردند که بعداً با عنوان CVE-2026-34219 افشا شد.
  • این بنیاد می‌گوید اعتبارسنجی انسانی و اثبات قابل تکرار برای امنیت پروتکل ضروری است.

به گفته تیم امنیت پروتکل بنیاد اتریوم، آزمایش‌های اخیر با عوامل هماهنگ‌شده هوش مصنوعی، نقاط ضعف نرم‌افزاری واقعی را در سیستم‌هایی که اتریوم به آن‌ها وابسته است، کشف کرده است، اما این سازمان اعلام کرد که بخش عمده‌ای از تلاش‌ها اکنون صرف تفکیک یافته‌های معتبر از نتایج مثبت کاذب قانع‌کننده می‌شود.

این تیم نتایج را در یک پست فنی تشریح کرد که توضیح می‌دهد چگونه عوامل هوش مصنوعی را در برابر نرم‌افزار سیستم‌ها، کتابخانه‌های رمزنگاری و قراردادهای هوشمند با اطمینان بالا آزمایش کرده است.

یکی از کشف‌های تأیید شده شامل یک panic قابل فعال‌سازی از راه دور در جزء gossipsub از libp2p بود که بخشی از لایه شبکه همتا به همتا مورد استفاده توسط کلاینت‌های اجماع اتریوم را تشکیل می‌دهد. بنیاد اتریوم اعلام کرد که این آسیب‌پذیری رفع شده و سپس با عنوان CVE-2026-34219 افشا شد.

به جای در نظر گرفتن عوامل هوش مصنوعی به عنوان تصمیم‌گیرنده، این بنیاد اعلام کرد که آن‌ها باید به عنوان ابزارهایی دیده شوند که فرضیه‌هایی نیازمند تأیید مستقل تولید می‌کنند. در حالی که عوامل می‌توانند کد منبع را بررسی کنند، مسیرهای اجرا را ردیابی کنند و مواد اثبات مفهوم را آماده کنند، این بنیاد اعلام کرد که آن‌ها همچنین گزارش‌هایی بر اساس کدهای غیرقابل دسترس، مسائل تکراری شناخته شده، خرابی‌های فقط-اشکال‌زدایی یا اثبات‌های رسمی ضعیف که نتوانند یک مشکل امنیتی واقعی را نشان دهند، تولید می‌کنند.

این تیم اعلام کرد که یافته غیرمنتظره این نبود که هوش مصنوعی بتواند باگ‌ها را شناسایی کند، بلکه این بود که اعتبارسنجی آن گزارش‌ها زمان بسیار بیشتری نسبت به تولید آن‌ها صرف کرد.

گردش کار چند عاملی گزارش‌های غیرقابل اعتماد را فیلتر می‌کند

برای کاهش یافته‌های غیرقابل اعتماد، بنیاد اتریوم اعلام کرد که چندین عامل هوش مصنوعی را در برابر یک مخزن نرم‌افزاری واحد به کار می‌گیرد، که هر عامل مرحله متفاوتی از فرآیند بررسی را بر عهده دارد. به جای اتکا به یک هماهنگ‌کننده مرکزی، عوامل از طریق خود مخزن با به اشتراک گذاشتن وضعیت در کنترل نسخه، اطلاعات را مبادله می‌کنند.

به گفته این بنیاد، گردش کار با شناسایی (reconnaissance) آغاز می‌شود، جایی که سطوح حمله گسترده به ایده‌های قابل آزمایش خاص محدود می‌شوند. سپس عوامل شکار (Hunting agents) هر فرضیه را در کد دنبال می‌کنند و سعی می‌کنند یک بازتولیدکننده (reproducer) عملی بسازند. عوامل پرکننده شکاف (Gap-filling agents) گزارش‌های پذیرفته شده و رد شده را پیگیری می‌کنند تا از تکرار کارهای قبلی جلوگیری کنند، در حالی که عوامل اعتبارسنجی (validation agents) به طور مستقل هر نامزد را بررسی می‌کنند، موارد تکراری را حذف می‌کنند و تعیین می‌کنند که آیا یک گزارش به عنوان یک آسیب‌پذیری مشروع واجد شرایط است یا خیر.

این بنیاد اعلام کرد که هر گزارش پذیرفته شده باید هدف قابل دسترسی را شناسایی کند، یک ناوردا (invariant) امنیتی روشن را تعریف کند، مکانیسم شکست را توضیح دهد، شواهد قابل مشاهده ارائه دهد، یک بازتولیدکننده مستقل را شامل شود و یک کلید حذف تکرار داشته باشد. این الزامات برای اطمینان از این است که هر ادعایی بتواند مستقیماً در برابر کد تولیدی آزمایش شود.

اعتبارسنجی انسانی عامل تعیین‌کننده باقی می‌ماند

در مرکز این فرآیند، بنیاد اتریوم گفت که یک اصل بر همه چیز اولویت دارد: یک آسیب‌پذیری معتبر نیست مگر اینکه فردی غیر از عامل گزارش‌دهنده بتواند آن را در برابر کدبیس واقعی بازتولید کند. به گفته این بنیاد، این الزام گزارش‌هایی را که حول مسیرهای حمله غیرممکن، خرابی‌های فقط-اشکال‌زدایی، یا نتایج تأیید رسمی که از نظر ریاضی صحیح به نظر می‌رسند اما خاصیت امنیتی معناداری را اثبات نمی‌کنند، حذف می‌کند.

فراتر از اعتبارسنجی فنی، این بنیاد اعلام کرد که نامزدهای باقی‌مانده نیز برای قابلیت بهره‌برداری عملی ارزیابی می‌شوند. نقصانی که هر شرکت‌کننده شبکه بتواند آن را فعال کند، پیامدهای امنیتی متفاوتی نسبت به نقصانی دارد که نیازمند دسترسی ویژه یا منابع محاسباتی غیرواقعی است.

این بنیاد افزود که عوامل هوش مصنوعی ناسازگار باقی می‌مانند، در قضاوت قابلیت دسترسی بهره‌برداری، شدت حمله، یا آسیب‌پذیری‌هایی که تنها از طریق توالی‌های طولانی از تعاملات معتبر پدیدار می‌شوند. در این شرایط، این بنیاد گفت که عوامل به عنوان دستیار برای چارچوب‌های تست stateful بهتر عمل می‌کنند تا جایگزینی برای محققان امنیتی با تجربه.

آخرین به روزرسانی امنیتی تنها چند هفته پس از تکمیل بازسازی داخلی عمده توسط بنیاد اتریوم منتشر می‌شود. در یک اعلامیه ۲۳ ژوئن، این سازمان اعلام کرد که نیروی کار خود را حدود ۲۰ درصد کاهش داده است، با خروج ۵۴ کارمند پس از بررسی چند ماهه تحت سیاست مدیریت اختیارات و خزانه‌داری خود.

به گفته این بنیاد، هدف از این بازسازی، تمرکز کارکنان و منابع بر مسئولیت‌هایی بود که تنها این سازمان می‌تواند انجام دهد، در حالی که توسعه بلندمدت اتریوم را ادامه می‌دهد.

رمزارز های محبوب
همین حالا ثبت‌نام کنید، هیچ به‌روزرسانی‌ای را از دست ندهید!