Agente de IA de la Fundación Ethereum descubre un error en el código del protocolo durante pruebas

By: rootdata|2026/07/13 04:00:29

Se ha revelado que el agente de IA (inteligencia artificial) de la Fundación Ethereum ha descubierto un error en el código del protocolo durante las pruebas operativas.

En la blockchain de Ethereum (Ethereum/ETH), que tiene el mayor volumen de activos bloqueados, se continúan los esfuerzos para aumentar la robustez de la red. El equipo de seguridad del protocolo de la Fundación Ethereum ha llevado a cabo recientemente un experimento que introduce un "agente de IA" en las pruebas de seguridad del software central. Esta iniciativa ha atraído la atención como un nuevo enfoque para garantizar la seguridad del sistema, pero también ha puesto de relieve un desafío particular de la IA: la carga que recae sobre los revisores humanos.

Errores graves descubiertos por IA colaborativa

En esta prueba, se adoptó un método en el que se ejecutaron múltiples agentes de IA en paralelo, cada uno con un rol asignado. Esta configuración se inspiró en la investigación de la empresa de IA estadounidense Anthropic sobre "la construcción de compiladores C utilizando grupos de agentes colaborativos".

Específicamente, la IA se dividió en cuatro roles para colaborar en la verificación:

Agente de exploración: Desglosa el objetivo del ataque en hipótesis verificables. Agente de ataque: Intenta rastrear el camino del código y construir pasos de reproducción. Agente de complemento de brechas: Registra el progreso y genera el siguiente grupo de hipótesis. Agente de verificación: Revisa de forma independiente, elimina duplicados y evalúa la validez.

Como resultado de esta exploración exhaustiva, los agentes de IA lograron descubrir una grave vulnerabilidad en la capa "gossipsub" de la biblioteca P2P (peer-to-peer) "libp2p", que utilizan los validadores de Ethereum para la comunicación.

Este error podría provocar un colapso del sistema de nodos de forma remota, lo que representaría un riesgo operativo si se aprovechara, ya que los validadores podrían desconectarse y perder recompensas. Este defecto fue rápidamente corregido y publicado como "CVE-2026-34219", evitando así el peligro técnico.

La proliferación de "falsos positivos" convincentes

A pesar de los logros en el descubrimiento de errores, el equipo de seguridad del protocolo se enfrenta a un gran cuello de botella. Este es el manejo de la gran cantidad de "falsos positivos" (ruido) generados por los agentes de IA.

Las herramientas de prueba tradicionales (como Fuzzer) generan datos cuando el sistema falla, lo que permite a los humanos verificar intuitivamente los errores. Sin embargo, los agentes de IA producen informes perfectamente estructurados que incluyen escenarios de ataque, evaluaciones de gravedad y códigos de prueba, presentándolos como "informes plausibles". Como resultado, los ingenieros humanos deben dedicar una cantidad enorme de tiempo y esfuerzo para distinguir "falsos errores que a primera vista parecen reales".

Según el análisis del equipo, hay tres patrones predecibles en los falsos positivos generados por la IA:

Pruebas diferentes del entorno de producción: Ocurren solo en compilaciones de depuración donde se habilitan las verificaciones de seguridad del compilador, lo que no afecta a los usuarios reales. Rutas de ataque inalcanzables: Códigos de reproducción que insertan manualmente valores internos que no pueden ser manipulados por atacantes, ya que son rechazados por todas las rutas de entrada externas. Pruebas vacías de verificación formal: Aunque demuestran que el software funciona correctamente, no restringen realmente el comportamiento del objetivo.

La posición actual de la IA en la seguridad de Web3

Nikos Baxevanis de la Fundación Ethereum informó: "Lo sorprendente no fue tanto el descubrimiento del error, sino cuánto esfuerzo se dedicó a la tarea de distinguir entre lo real y lo falso".

Además, aunque los agentes de IA son buenos para inferir el código en un único momento, todavía tienen dificultades para identificar errores complejos, como los que ocurren frecuentemente en DeFi (finanzas descentralizadas), donde "se ejecutan múltiples pasos normales en un orden malicioso". La lección de esta prueba es que, aunque las herramientas de seguridad de IA pueden convertirse en poderosos asistentes para acelerar el descubrimiento de errores en la infraestructura, el juicio humano avanzado es esencial para la triage final.

La introducción de la IA no ha desplazado el trabajo humano, sino que ha cambiado "la forma en que se utiliza el tiempo humano" desde la fase de verificación de hipótesis hacia la construcción de infraestructuras de verificación y la selección de información. A pesar de la evolución de las herramientas en la actualidad, la importancia de la disciplina humana en la triage rigurosa sigue siendo la misma.

Precio de --

--

Descargo de responsabilidad: Este contenido se proporciona únicamente con fines generales de desarrollo de marca e informativos y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Cualquier evento, recompensa, evento en línea o información relacionada que se mencione en el presente documento no debe considerarse como una recomendación, solicitud o invitación para comprar, vender, tradear o negociar de cualquier otra forma con cualquier criptoactivo o para utilizar cualquier servicio. Los criptoactivos son sumamente volátiles y pueden provocar pérdidas. Es posible que los servicios de WEEX y los eventos en línea no estén disponibles en todas las regiones, así como que estén sujetos a las leyes, regulaciones y requisitos de elegibilidad vigentes. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con las criptomonedas.

También te puede interesar

iconiconiconiconiconicon
Atención al cliente:@weikecs
Cooperación empresarial:@weikecs
Trading cuantitativo y MM:[email protected]
Programa VIP:[email protected]