El agente de IA de la Fundación Ethereum descubre un error en el código del protocolo durante pruebas

By: rootdata|2026/07/13 04:00:29

Se ha revelado que el agente de IA (inteligencia artificial) de la Fundación Ethereum ha descubierto un error en el código del protocolo durante las pruebas operativas.

En la blockchain de Ethereum (Ethereum/ETH), que alberga la mayor cantidad de activos bloqueados, se continúan los esfuerzos para mejorar la robustez de la red. El equipo de seguridad del protocolo de la Fundación Ethereum ha llevado a cabo recientemente un experimento que introduce un "agente de IA" en las pruebas de seguridad del software central. Esta iniciativa ha llamado la atención como un nuevo enfoque para garantizar la seguridad del sistema, al mismo tiempo que ha puesto de manifiesto un desafío particular de la IA: la carga que recae sobre los revisores humanos.

Errores graves descubiertos por la IA colaborativa

En esta prueba, se adoptó un método que ejecuta múltiples agentes de IA en paralelo, asignando roles específicos a cada uno. Esta configuración se inspiró en la investigación de la empresa de IA estadounidense Anthropic sobre la "construcción de compiladores C utilizando grupos de agentes colaborativos".

Específicamente, la IA se dividió en cuatro roles para colaborar en la verificación:

Agente de exploración: Reduce el objetivo del ataque a hipótesis verificables específicas
Agente de ataque: Rastrea el código para intentar construir pasos de reproducción
Agente de complemento de brechas: Registra el progreso y genera el siguiente conjunto de hipótesis
Agente de verificación: Revisa de forma independiente, elimina duplicados y evalúa la validez

Como resultado de esta exploración exhaustiva, los agentes de IA lograron descubrir una vulnerabilidad grave en la capa "gossipsub" de la biblioteca P2P (peer-to-peer) "libp2p", que utilizan los validadores de Ethereum para la comunicación.

Este error podría provocar un colapso del sistema de nodos de forma remota, lo que conllevaría riesgos operativos, como que los validadores se desconecten y pierdan recompensas. Este defecto fue rápidamente corregido y publicado como "CVE-2026-34219", evitando así el peligro técnico.

La proliferación de "falsos positivos" convincentes

A pesar de haber logrado el descubrimiento del error, el equipo de seguridad del protocolo se enfrenta a un gran cuello de botella: el manejo de la gran cantidad de "falsos positivos" (ruido) generados por los agentes de IA.

Las herramientas de prueba tradicionales (como Fuzzer) producen datos cuando el sistema falla, lo que permite a los humanos verificar intuitivamente los errores. Sin embargo, los agentes de IA generan escenarios de ataque, evaluaciones de gravedad y códigos de prueba en informes perfectamente estructurados que parecen plausibles. Como resultado, los ingenieros humanos deben dedicar una cantidad enorme de tiempo y esfuerzo para distinguir entre "falsos errores que parecen reales".

Según el análisis del equipo, hay tres patrones predecibles en los falsos positivos generados por la IA:

Pruebas diferentes del entorno de producción: Ocurren solo en compilaciones de depuración donde las verificaciones de seguridad del compilador están habilitadas, sin afectar a los usuarios reales
Rutas de ataque inalcanzables: Se insertan manualmente valores internos que no pueden ser manipulados por un atacante, ya que todas las rutas de entrada desde el exterior son rechazadas
Pruebas vacías de verificación formal: Aunque demuestran que el software funciona correctamente, no restringen realmente el comportamiento del objetivo

La posición actual de la IA en la seguridad de Web3

Nikos Baxevanis de la Fundación Ethereum informó: "Lo sorprendente no fue el descubrimiento del error en sí, sino la cantidad de esfuerzo que se dedicó a la tarea de distinguir entre lo real y lo falso".

Además, aunque los agentes de IA son buenos para inferir un código en un solo momento, todavía tienen dificultades para identificar errores complejos, como los que ocurren en DeFi (finanzas descentralizadas), donde "se ejecutan múltiples pasos normales en un orden malicioso". La lección que se extrae de esta prueba es que, aunque las herramientas de seguridad de IA pueden convertirse en poderosos asistentes para acelerar el descubrimiento de errores en la infraestructura, el juicio humano avanzado es esencial para la triage final.

La introducción de la IA no ha desplazado el trabajo humano; más bien, se puede decir que ha "cambiado la forma en que los humanos utilizan su tiempo", desde la fase de verificación de hipótesis hasta la construcción de infraestructuras de verificación y la selección de información. Incluso en la era moderna de la evolución de las herramientas, la importancia de la disciplina humana en la rigurosa triage sigue siendo relevante.

Precio de --

--

Aviso legal: Este contenido se brinda únicamente con fines informativos y de marca, y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Ningún evento, recompensa, evento en línea o información relacionada que se mencione aquí debe considerarse una recomendación, solicitud o invitación para comprar, vender, intercambiar u operar de cualquier otra forma con criptoactivos ni para utilizar ningún servicio. Los criptoactivos son altamente volátiles y pueden generar pérdidas. Los servicios y eventos en línea de WEEX pueden no estar disponibles en todas las regiones y están sujetos a las leyes, regulaciones y requisitos de elegibilidad aplicables. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con criptomonedas.

Te puede gustar

iconiconiconiconiconiconicon
Atención al cliente:@weikecs
Cooperación empresarial:@weikecs
Trading cuantitativo y CM:[email protected]
Programa VIP:[email protected]