Dobrodošli· subota, 11. juli 2026.
Vijesti
Tehnologija

Ethereum fondacija pustila AI agente na svoj kod: evo šta su zaista pronašli

Sigurnosni tim Ethereum fondacije pustio je koordinisane AI agente na kod o kojem Ethereum zavisi. Rezultat: najmanje jedan daljinski iskoristiv bag, ali i mnoštvo lažno pozitivnih nalaza.

Foto: Bitcoin.com News

Redakcija ACX+ACX+ Magazin · prije 2 h
3 min čitanja

Tim za sigurnost protokola Ethereum fondacije pustio je koordinisane agente vještačke inteligencije (AI) na kod o kojem Ethereum zavisi, pri čemu su otkrili najmanje jedan daljinski iskoristiv bag, ali i poplavu uvjerljivih lažno pozitivnih nalaza koje su ljudi morali razmrsiti. Eksperiment je detaljno opisan u blog objavi od 9. jula čiji je autor Nikos Baxevanis iz tima za sigurnost protokola, pod naslovom koji je ujedno i teza cijelog poduhvata: „Trijaža je proizvod“. Nalazi su privukli veliku pažnju jer se ispostavilo da je najveći dio prijavljenih problema bio lažno pozitivan, iako je među njima bilo i stvarnih bagova.

Glavno otkriće je itekako stvarno: agenti su pomogli da se otkrije daljinski izazvan pad (panic) u gossipsub-u, dijelu libp2p peer-to-peer mrežnog sloja na kojem rade Ethereum konsenzus klijenti. Propust je ispravljen i objavljen kao CVE-2026-34219, a riječ je o tipu baga koji je, da ga je prvi pronašao napadač, mogao biti iskorišćen za ometanje čvorova širom mreže.

Iznenađenje, kako je napisala fondacija, nije bilo to što AI agenti mogu pronaći bagove, već „koliko je malo posla otišlo na njihovo pronalaženje, a koliko na razlikovanje pravih bagova od onih koji su samo djelovali stvarno“. Tim je katalogizovao tipične oblike tih varki: padove koji se javljaju samo u debug verzijama a nikad u produkciji, reprodukcije koje se oslanjaju na nedostupne interne vrijednosti koje napadač ne bi mogao dostaviti, i formalno-verifikacione dokaze koji su tehnički tačni ali toliko neograničeni da ne dokazuju ništa.

Odgovor fondacije je strog dokazni standard sažet u principu „reproducibilno ili se nije desilo“. Svaki kandidat za nalaz ubuduće mora doći sa samostalnim artefaktom koji reprodukuje grešku na stvarnom kodu, bez obzira na to koliko je agent koji ga prijavljuje „siguran“ u nalaz. Agenti se u ovom kontekstu posmatraju kao generatori hipoteza, alati za pretragu a ne donosioci odluka, organizovani u faze izviđanja, lova, popunjavanja praznina i validacije, dok konačnu riječ imaju ljudi.

Objava je ponudila i rijedak uvid u učinak sadašnje generacije alata: agent za testiranje zasnovano na svojstvima generisao je oko 1.000 kandidata za nalaze, a nakon stručne provjere oko 86 posto njegovih preporuka najvišeg ranga izdržalo je provjeru. To je snažan rezultat za mašinu, ali i stopa koja i dalje zahtijeva ljudski filter prije nego što bilo šta dotakne produkcioni kod. Alati očigledno pronalaze stvarne ranjivosti u kritičnoj infrastrukturi, čime se ruši teza da su AI prijave bagova čista buka, ali posao nije nestao, već se premjestio nizvodno u trijažu, gdje iskusni inženjeri odvajaju signal od simulacije. Za mrežu koja čuva stotine milijardi dolara vrijednosti, taj filter je ključan.

Fondacija sada gura ovaj rad dalje umjesto da ga tretira kao jednokratan eksperiment: njen Ecosystem Support Program finansira namjensku rundu grantova za sigurnost protokola zasnovanu na AI, koja pokriva istraživanje, reviziju koda i otkrivanje ranjivosti.

Izvor: Bitcoin.com

Izvor: Bitcoin.com