کشف باگ در کد پروتکل توسط عامل هوش مصنوعی بنیاد اتریوم در حین آزمایش

By: rootdata|2026/07/13 04:00:29
0
اشتراک‌گذاری
copy
امتیازدهی ما در گوگلامتیازدهی ما در گوگل

بنیاد اتریوم اعلام کرده است که عامل هوش مصنوعی (AI) آن در حین آزمایش عملیاتی، موفق به کشف باگی در کد پروتکل شده است.

تلاش‌ها برای افزایش استحکام شبکه در بلاک‌چین اتریوم (Ethereum/ETH) که بزرگ‌ترین دارایی‌های قفل‌شده را دارد، ادامه دارد. تیم امنیت پروتکل بنیاد اتریوم به تازگی آزمایشی را برای معرفی "عامل هوش مصنوعی" در تست‌های امنیت نرم‌افزار اصلی انجام داده است. این تلاش به عنوان یک رویکرد جدید برای تضمین امنیت سیستم مورد توجه قرار گرفته است، در حالی که چالش‌های خاصی که بر عهده بازبینی‌کنندگان انسانی است را نیز نمایان کرده است.

باگ‌های جدی کشف‌شده توسط هوش مصنوعی همکار

در این آزمایش، از روشی استفاده شده است که در آن چندین عامل هوش مصنوعی به‌طور موازی اجرا شده و هر یک نقش خاصی را بر عهده داشته‌اند. این ساختار از تحقیقاتی که توسط شرکت هوش مصنوعی آمریکایی Anthropic در زمینه "ساخت کامپایلر C با استفاده از گروه‌های عامل همکار" الهام گرفته شده است، نشأت گرفته است.

به‌طور خاص، هوش مصنوعی به چهار نقش زیر تقسیم شده و به‌طور همکارانه به بررسی پرداخته است:

عامل شناسایی: تبدیل هدف حمله به فرضیه‌های قابل بررسی عامل حمله: پیگیری مسیرهای کد و تلاش برای ساخت مراحل بازتولید عامل تکمیل شکاف: ثبت پیشرفت و تولید گروه‌های فرضیه بعدی عامل تأیید: بررسی مجدد به‌طور مستقل و حذف تکرارها برای ارزیابی اعتبار

نتیجه این جستجوی جامع، موفقیت عامل هوش مصنوعی در کشف یک آسیب‌پذیری جدی در لایه "gossipsub" کتابخانه P2P (همتا به همتا) "libp2p" است که توسط اعتبارسنج‌های اتریوم برای ارتباطات استفاده می‌شود.

این باگ می‌تواند از راه دور باعث کرش سیستم نود شود و در صورت سوءاستفاده، خطر از دست دادن پاداش برای اعتبارسنج‌ها به دلیل آفلاین شدن وجود دارد. این نقص به سرعت به عنوان "CVE-2026-34219" اصلاح و منتشر شد و خطرات فنی آن برطرف گردید.

شیوع "تشخیص‌های نادرست قانع‌کننده"

در حالی که کشف باگ یک موفقیت به حساب می‌آید، تیم امنیت پروتکل با یک گلوگاه بزرگ مواجه است. این گلوگاه، پردازش حجم زیادی از "تشخیص‌های نادرست (نویز)" است که توسط عامل‌های هوش مصنوعی تولید می‌شود.

ابزارهای تست سنتی (مانند فازر) به‌گونه‌ای طراحی شده‌اند که داده‌هایی را در زمان کرش سیستم تولید کنند که به انسان‌ها اجازه می‌دهد به‌طور شهودی باگ‌ها را شناسایی کنند. اما عامل‌های هوش مصنوعی، سناریوهای حمله، ارزیابی شدت و کدهای اثباتی را به‌عنوان "گزارش‌های محتمل" با ساختاری کامل تولید می‌کنند. بنابراین، مهندسان انسانی مجبورند زمان و تلاش زیادی را برای تشخیص "باگ‌های جعلی که به نظر واقعی می‌آیند" صرف کنند.

تحلیل تیم نشان می‌دهد که تشخیص‌های نادرست تولید شده توسط هوش مصنوعی عمدتاً شامل سه الگوی قابل پیش‌بینی است:

آزمایش‌های متفاوت از محیط واقعی: کرش‌هایی که فقط در بیلدهای دیباگ با چک‌های ایمنی کامپایلر فعال رخ می‌دهد و بر کاربران واقعی تأثیری ندارد. مسیرهای حمله غیرقابل دسترسی: کدهای بازتولید شده که مقادیر داخلی را به‌صورت دستی وارد می‌کنند و به‌طور مؤثر توسط ورودی‌های خارجی رد می‌شوند. اثبات‌های توخالی در تأیید فرم: در حالی که این موارد به‌عنوان اثباتی برای عملکرد صحیح نرم‌افزار عمل می‌کنند، در واقع هیچ محدودیتی برای عملکرد هدف ایجاد نمی‌کنند.

وضعیت فعلی هوش مصنوعی در امنیت Web3

نیکوس باکسوانیس (Nikos Baxevanis) از بنیاد اتریوم گزارش می‌دهد: "آنچه مرا شگفت‌زده کرد، نه خود کشف باگ، بلکه میزان زمانی بود که برای تمایز بین واقعی و جعلی صرف شد."

علاوه بر این، عامل‌های هوش مصنوعی در استنتاج کد در یک لحظه واحد مهارت دارند، اما هنوز در شناسایی باگ‌های پیچیده‌ای که در DeFi (مالی غیرمتمرکز) به‌طور مکرر رخ می‌دهند، مانند "اجرای چندین مرحله عادی به‌صورت مخرب"، با چالش مواجه هستند. درس‌هایی که این آزمایش به ما می‌آموزد این است که ابزارهای امنیتی هوش مصنوعی می‌توانند به‌عنوان دستیارهای قدرتمند در تسریع کشف باگ‌های زیرساخت عمل کنند، در حالی که در نهایت، قضاوت‌های پیشرفته انسانی برای تریاژ نهایی ضروری است.

این‌گونه نیست که با معرفی هوش مصنوعی، کار انسان‌ها گرفته شده باشد، بلکه می‌توان گفت که نحوه استفاده از زمان انسان‌ها از مرحله فرضیه‌سازی به سمت ساخت زیرساخت‌های تأیید و انتخاب اطلاعات تغییر کرده است. حتی در دنیای مدرن که ابزارها در حال پیشرفت هستند، اهمیت نظم سختگیرانه تریاژ انسانی تغییر نکرده است.

قیمت --

--

سلب مسئولیت: این محتوا صرفاً برای اطلاع‌رسانی عمومی و برندینگ ارائه شده و به‌ منزله مشاوره مالی، سرمایه‌گذاری، حقوقی یا مالیاتی تلقی نمی‌گردد. هیچ‌یک از رویدادها، جوایز، رویدادهای آنلاین یا اطلاعات مرتبط ذکرشده در اینجا نباید به‌عنوان توصیه، درخواست یا دعوت برای خرید، فروش، معامله یا هرگونه اقدام دیگر در رابطه با دارایی‌های رمزارزی یا استفاده از خدمات تلقی شوند. دارایی‌های رمزارزی با نوسانات بالایی همراه بوده و ممکن است منجر به زیان شوند. خدمات WEEX و رویدادهای آنلاین ممکن است در تمام مناطق در دسترس نبوده و مشمول قوانین، مقررات و شرایط احراز صلاحیت مربوطه هستند. شما مسئول رعایت قوانین محلی در استفاده از خدمات WEEX هستید و باید پیش از انجام هرگونه فعالیت مرتبط با ارزهای دیجیتال، ریسک‌های آن را به‌دقت بررسی کنید.

ممکن است شما نیز علاقه‌مند باشید

iconiconiconiconiconicon
پشتیبانی مشتری:@weikecs
همکاری تجاری:@weikecs
معاملات کمّی و بازارسازی:[email protected]
برنامه VIP:[email protected]