AI-ügynökök valódi Ethereum-hibát találtak, amely összeomlaszthatta volna a validátorokat
Az Ethereum Foundation épp megmutatta, mi történik, ha AI-ügynökök flottáját irányítod a hálózatot futtató kódra. Július 9-én a protokollbiztonsági csapata felfedte, hogy koordinált ügynökök segítettek feltárni egy valódi hibát, amely elég súlyos volt ahhoz, hogy saját CVE-t kapjon.
A hiba a gossipsubban lakott, annak a peer-to-peer rétegnek a részében, amelyet minden Ethereum konszenzuskliens használ blokkok és attesztációk továbbítására. Azóta javították, de a kísérlet legalább annyit mond az AI-ról, mint a hálózatról.
Egy üzenet, egy összeomlás
A CVE-2026-34219 néven nyilvántartott hiba lehetővé tette, hogy bármely hitelesítetlen partner egyetlen preparált üzenetet küldjön, amely lehetetlen számításba kényszerítette a csomópontot és leállította, offline állapotba kényszerítve egy validátort, amíg egy üzemeltető újra nem indította. Mivel a támadó újracsatlakozhatott és lejátszhatta az üzenetet, az összeomlás olcsón ismételhető volt.
A kiváltó ok hétköznapi volt, egy ellenőrizetlen aritmetikai túlcsordulás abban, ahogy a szoftver egy rutinszerű visszalépési üzenetet kezelt. Közepes súlyosságúnak minősítették és a libp2p-gossipsub 0.49.4-es verziójában javították, az üzemeltetőket gyors frissítésre szólítva. Egy hasonló, sorozatban jövő hibát is követett ugyanabban a komponensben, ami arra utal, hogy a terület alaposabb vizsgálatot igényel.
A termék a triázs
Az érdekesebb megállapítás magáról az AI-ról szólt. Az ügynököket szerepekbe szervezték, felderítés, vadászat, hézagpótlás és validáció, és egy megosztott kódtáron keresztül koordináltak, nem központi vezérlővel, ami a flottaalapú ügynökmunka mintájára épült.
Hatalmas mennyiségű anyagot állítottak elő. Egy ügynök nagyjából 1 000 jelöltet termelt, és csak töredékük volt valós. A legjobb tippek mintegy 86 százaléka élte túl a szakértői felülvizsgálatot, de a legtöbb megjelölt probléma meggyőző téves riasztás volt, csak tesztváltozatokban jelentkező összeomlások, olyan értékeket igénylő támadások, amelyeket kívülálló nem tud beadni, és technikailag helytálló, de semmit sem mutató bizonyítások.
Ezért az alapítvány nem hibaszámként, hanem munkafolyamatként foglalta össze a tanulságot. „Az AI nem váltotta le a biztonsági kutatót. Áthelyezte a munkát.” A szűk keresztmetszet a problémák megtalálásától a valódiak és a zaj megkülönböztetése felé tolódott.
Mit jelent ez a tulajdonosoknak
Az ETH-befektetők számára két tanulság van. A jó hír, hogy a folyamat működött, egy közepes súlyosságú hibát a kritikus infrastruktúrában megtaláltak, kijavítottak és nyilvánosságra hoztak fennakadás nélkül. A nehezebb igazság, hogy a hálózat biztonsági felülete óriási, sok kliens, nyelv és függőség között szétszórva.
A most figyelendő mutató az, hogy a csomópont-üzemeltetők milyen gyorsan frissítenek ténylegesen, mert egy javított hiba, amelyet a hálózat fele figyelmen kívül hagy, még mindig élő kockázat. Ez semmit sem változtat azon, hogyan tartod az eszközt, de emlékeztet arra, hogy az önálló letét és a naprakész szoftver számít, ezért érdemes átnézni a legjobb kriptotárcákat és mindent frissen tartani.
A tágabb jelzés az, hogy az AI a smart contractok auditálásától a hálózat magkódjának vizsgálata felé lépett. Nem váltotta le a kutatókat. Csak sokkal nagyobb halmot adott nekik megítélni.
Egy hálózat számára, amely dollármilliárdok százait biztosítja, az a változás, ahogyan a hibákat megtalálják, végül ugyanolyan fontos lehet, mint az egyetlen kijavított hiba.