
بنیاد اتریوم از دستههایی از عوامل هوش مصنوعی برای حمله به اتریوم استفاده میکند – پیش از آنکه شخص دیگری این کار را انجام دهد.
محققان بنیاد اتریوم از تیم امنیت پروتکل، در پست وبلاگ خود در روز پنجشنبه، اعلام کردند که مجموعهای از عوامل هوش مصنوعی را علیه نرمافزاری که اتریوم به آن متکی است، مستقر کردهاند تا آسیبپذیریها را در سیستمهای رمزنگاری، کد پروتکل و قراردادهای هوشمند شناسایی کنند.
محققان نوشتند: «ما عوامل هوش مصنوعی هماهنگشدهای را علیه انواع سیستمهایی که شبکه به آنها وابسته است، مانند نرمافزار سیستم، کد رمزنگاری و قراردادهایی که باید درست عمل کنند، اجرا کردهایم. این عوامل باگهای واقعی را پیدا کردند.»
یکی از باگهای کشفشده شامل یک خطای از راه دور قابلراهاندازی (remotely triggered panic) در gossipsub از libp2p بود که بخشی از لایه همتابههمتا (peer-to-peer) مورد استفاده توسط کلاینتهای اجماع اتریوم است. این مشکل رفع و با عنوان CVE-2026-34219 در گیتهاب افشا شد.
این رویه که به «تیم قرمز» (red teaming) معروف است، شامل استقرار محققان امنیتی توسط شرکتها برای حمله به سیستمهای خودشان است؛ تلاشی برای نفوذ یا اختلال در شبکهها به منظور کشف نقاط ضعف، پیش از آنکه هکرهای مخرب آنها را پیدا کنند. در حالی که تیمهای قرمز به یک سیستم حمله میکنند، وظیفه تیمهای آبی (blue teams) دفاع از آن است.
محققان انسانی به طور سنتی با بررسی دستی کد به دنبال آسیبپذیریها میگشتند – اما عوامل هوش مصنوعی میتوانند کل پایگاههای کد را اسکن کرده، اکسپلویتهای احتمالی را آزمایش کنند و یافتهها را برای بررسی تولید نمایند.
این تیم نوشت: «پیدا کردن باگها توسط عوامل هوش مصنوعی تعجبآور نبود. تعجبآور این بود که چقدر کار کمی صرف یافتن آنها شد و چقدر زیاد صرف تشخیص باگهای واقعی از آنهایی شد که فقط واقعی به نظر میرسیدند.»
به گفته بنیاد اتریوم، این عوامل در نقشهای تخصصی سازماندهی شدهاند، از جمله شناسایی، شکار، پر کردن شکافها و اعتبارسنجی. برخی مسیرهای حمله احتمالی را جستجو میکنند، در حالی که برخی دیگر تلاش میکنند تا شکستها را بازتولید کرده و تأیید کنند که آیا آنها علیه کد تولیدی کار میکنند یا خیر.
آنها نوشتند: «این طرح (schema) دلیلی دارد. این طرح یک ادعای خاص و قابل آزمایش و یک تعریف روشن از اتمام کار را تحمیل میکند. عاملی که باید یک مدرک قابل مشاهده را ثبت کند، نمیتواند به «این خطرناک به نظر میرسد» تکیه کند.»
نقش رو به رشد هوش مصنوعی در تحقیقات آسیبپذیری در ماه آوریل به نمایش گذاشته شد، زمانی که یک نسخه پیشنمایش از Claude Mythos شرکت Anthropic، ۲۷۱ آسیبپذیری را در مرورگر فایرفاکس موزیلا کشف کرد.
محققان عوامل هوش مصنوعی را با فازرها (fuzzers) یا ابزارهایی که نرمافزار را برای یافتن نقصها آزمایش میکنند، مقایسه کردند. با این حال، بر خلاف فازرها، عوامل هوش مصنوعی میتوانند گزارشهای آسیبپذیری تولید کنند، تأثیر را ارزیابی کرده و تستهای اثبات مفهوم (proof-of-concept) ایجاد کنند.
اما جزئیات همیشه به معنای صحیح بودن نیست. یافتههای تولید شده توسط هوش مصنوعی میتوانند حتی زمانی که اشتباه هستند، متقاعدکننده به نظر برسند و محققان را مجبور به فیلتر کردن موارد تکراری، مثبتهای کاذب و آسیبپذیریهایی میکنند که در واقع قابل بهرهبرداری نیستند.
محققان نوشتند: «یک قانون مهمتر از هر قانون دیگری است. یک نامزد تا زمانی که یک آرتیفکت خودکفا وجود نداشته باشد که خطا را در برابر کد واقعی بازتولید کند و برای کسی که آن را ننوشته است اجرا شود، یک یافته نیست. بازتولیدکننده گزارش را نمیخواند و اهمیتی نمیدهد که مدل چقدر با اعتمادبهنفس به نظر میرسید. یا اجرا میشود یا نمیشود.»
ابزارهای هوش مصنوعی قبلاً به محققان امنیتی کمک کردهاند تا نقصهایی را در شبکههای بلاکچین کشف کنند.
در ماه می، تیلور هورنبی، محقق امنیتی، از Claude Opus 4.8 شرکت Anthropic در طول یک ممیزی با کمک هوش مصنوعی استفاده کرد که یک آسیبپذیری حیاتی را در استخر حریم خصوصی Orchard مربوط به Zcash پیدا کرد. این نقص برای تقریباً چهار سال وجود داشت و میتوانست به یک مهاجم اجازه دهد تا ZEC تقلبی بدون هیچ ردپای واضحی در بلاکچین ایجاد کند. یک ارتقاء شبکه برای بازگرداندن اعتماد به عرضه Zcash همچنان در دست انجام است.
آزمایش بنیاد اتریوم این فناوری را داخلی میکند و از عوامل هوش مصنوعی برای آزمایش کد خود جهت یافتن آسیبپذیریها استفاده میکند.
بنیاد اتریوم گفت: «هوش مصنوعی جایگزین محقق امنیتی نشد. بلکه کار را جابهجا کرد. عوامل به ما اجازه میدهند تا پوشش بسیار بیشتری نسبت به کاری که میتوانستیم دستی انجام دهیم، داشته باشیم. در عوض، آنها قضاوت دقیقتری را در میان انبوهی بزرگتر از ادعاهای با اعتمادبهنفس میطلبند.»
آنها اضافه کردند: «این مبادلهای است که ارزش انجام دارد، تا زمانی که به یاد داشته باشید که قضاوت محصول واقعی است.»