以太坊基金会通过AI代理发现并修复验证器崩溃漏洞
以太坊基金会的协议安全团队在部署了协调性人工智能(AI)代理对代码库进行分析后,识别并修复了网络核心软件中的一个重大安全漏洞。研究人员确认了该漏洞(现编号为CVE-2026-34219),它允许远程攻击者触发崩溃,导致验证器离线,直至操作员手动重启。
AI驱动的安全审计发现真实与虚假威胁
由研究员尼科斯·巴克斯瓦尼斯代表的团队在7月9日发布的现场笔记中详细描述了这一过程。笔记阐述了AI代理如何系统性地检查网络代码,同时指出了将AI用于协议安全所面临的机遇与挑战。
巴克斯瓦尼斯报告称,大部分工作并非集中在发现新漏洞上;相反,主要挑战在于区分真正的漏洞与那些看似可信的结果。与传统的模糊测试工具(能够产生崩溃及技术追踪信息)不同,AI代理生成的是一套详尽的叙述,包括调用链、严重性评级以及可运行的代码示例——无论底层问题是否真实存在。
最耗费精力的任务是从那些看起来很有说服力的结果中筛选出真正的漏洞,因为AI生成的结果往往将真实问题与令人信服却虚构的问题混在一起。随着AI系统在威胁检测与安全建模中日益突出,这一区分能力变得愈发重要。基金会的团队对常见的误报进行了分类,例如仅在测试环境中发生的崩溃、仅通过手动插入值才能成功的攻击,或是形式上有效但实际无意义的形式化证明。
另一个限制是,AI代理难以检测那些由一系列单独合法但整体危险的行为所引发的漏洞——这是近期高价值DeFi攻击中常见的策略。因此,团队目前部署AI代理来推荐哪些场景需要进一步测试,而最终决策和披露工作仍由人类专家负责。
小词典:模糊测试,一种软件测试技术,通过自动向程序输入随机或非预期数据来检测编码错误、安全漏洞和崩溃。它通常输出原始信息,如崩溃日志或堆栈跟踪,帮助开发者识别系统中的真实故障。
转向AI辅助验证
这项实验是以太坊基金会更广泛地将AI工具应用于协议安全策略的一部分,尤其是在今年早些时候进行大规模人员裁减之后。团队表示,他们打算更依赖AI辅助验证,同时仍承认在评估和披露发现成果时,人类监督至关重要。
随着安全研究日益由AI驱动,协议安全团队观察到,虽然模型加快了覆盖范围,但在判断哪些发现属于真正的漏洞时,人类判断仍然至关重要。团队的方法与科技公司Anthropic和Cloudflare的类似举措相呼应,这两家公司也已整合AI代理来增强其安全研究能力。这些组织同样发现,AI可以扩展漏洞搜索的规模,但最终解释结果并采取行动的责任仍由人类分析师承担。
以太坊于2015年推出,是一个面向去中心化应用的全球开源区块链。以太坊基金会是一个非营利组织,致力于支持以太坊及相关技术,优先关注安全性和社区驱动的发展。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种