以太坊基金會揭 AI 發現驗證者漏洞 需人工驗證
以太坊基金會利用 AI 代理測試 gossipsub 系統,發現可致驗證者離線的遠程崩潰漏洞 CVE-2026-34219,但大部分工作用於分辨真實漏洞與 AI 產生的誤報,工程師強調仍需人工審核。
【揀報】以太坊基金會部署 AI 代理對 gossipsub 訊息傳遞系統進行測試,觸發遠程崩潰漏洞 CVE-2026-34219,該漏洞可令驗證節點離線,現已修復。 基金會工程師 Nikos Baxevanis 指出,投入在尋找漏洞的工作很少,但區分真實漏洞與看似真實錯誤的工作卻很多 (separating real vulnerabilities from convincing-looking mistakes)。AI 代理會生成完整敘述、嚴重性評級及攻擊代碼,卻混雜大量誤報,包括僅在測試版本出現的崩潰、需人工植入數值才生效的攻擊,以及無意義的形式驗證。 AI 在處理跨步驟攻擊序列時表現較弱,例如 Edel Finance 及 BONK 攻擊。基金會現行做法是讓 AI 提出可疑序列,再交由人工測試驗證。
新聞來源:《CoinDesk》