Agente de IA da Fundação Ethereum descobre bug no código do protocolo durante testes

By: rootdata|2026/07/13 04:00:29
0
Compartilhar
copy
Avalie no GoogleAvalie no Google

O agente de IA (inteligência artificial) da Fundação Ethereum revelou que conseguiu descobrir um bug no código do protocolo durante os testes operacionais.

No blockchain Ethereum (Ethereum/ETH), que possui o maior volume de ativos bloqueados, continuam os esforços para aumentar a robustez da rede. A equipe de segurança do protocolo da Fundação Ethereum recentemente conduziu um experimento que introduziu um "agente de IA" nos testes de segurança do software central. Essa iniciativa atraiu atenção como uma nova abordagem para garantir a segurança do sistema, ao mesmo tempo em que destacou o ônus que isso impõe aos revisores humanos, um desafio característico da IA.

Bug grave descoberto pela IA colaborativa

Nos testes, foi adotada uma abordagem que executa vários agentes de IA em paralelo, atribuindo a cada um deles um papel específico. Essa configuração foi inspirada na pesquisa da empresa de IA americana Anthropic sobre "construção de compiladores C usando um grupo de agentes colaborativos".

Especificamente, a IA foi dividida em quatro papéis para realizar a verificação:

Agente de Reconhecimento: Traduz hipóteses de ataque em hipóteses verificáveis concretas
Agente de Ataque: Rastreia caminhos de código e tenta construir procedimentos de reprodução
Agente de Complementação de Lacunas: Registra o progresso e gera o próximo conjunto de hipóteses
Agente de Verificação: Realiza rechecagens independentes, eliminando duplicatas e avaliando a validade

Como resultado dessa exploração abrangente, os agentes de IA conseguiram descobrir uma vulnerabilidade grave na camada "gossipsub" da biblioteca P2P (peer-to-peer) "libp2p", que é utilizada por validadores do Ethereum para comunicação.

Esse bug poderia causar a falha do sistema de s remotamente e, se explorado, poderia resultar na perda de recompensas para validadores que ficassem offline, apresentando um risco operacional. Essa falha foi rapidamente corrigida e divulgada como "CVE-2026-34219", evitando assim riscos técnicos.

A proliferação de "falsos positivos" convincentes

Embora a descoberta do bug tenha sido um resultado positivo, a equipe de segurança do protocolo enfrentou um grande gargalo. Esse gargalo é o processamento de uma grande quantidade de "falsos positivos" (ruído) gerados pelos agentes de IA.

Ferramentas de teste tradicionais (como o Fuzzer) produzem dados quando o sistema falha, permitindo que humanos verifiquem intuitivamente os bugs. No entanto, os agentes de IA escrevem cenários de ataque, avaliações de gravidade e códigos de demonstração em relatórios "plausíveis" com uma estrutura perfeita. Como resultado, os engenheiros humanos gastam um tempo e esforço consideráveis para distinguir "falsos bugs que parecem reais à primeira vista".

De acordo com a análise da equipe, existem três padrões previsíveis principais nos falsos positivos gerados pela IA:

Testes diferentes do ambiente de produção: Ocorrências que só acontecem em builds de depuração com verificações de segurança do compilador ativadas, sem impacto para usuários reais
Caminhos de ataque inatingíveis: Códigos de reprodução que inserem manualmente valores internos que não podem ser manipulados por atacantes, pois todos os caminhos de entrada externos são rejeitados
Provas vazias de verificação formal: Embora provem que o software está funcionando corretamente, não restringem efetivamente o comportamento do alvo

O estado atual da IA na segurança Web3

Nikos Baxevanis, da Fundação Ethereum, relatou: "O que me surpreendeu não foi a descoberta do bug em si, mas o quanto de esforço foi despendido na tarefa de distinguir entre verdadeiro e falso".

Além disso, embora os agentes de IA sejam bons em inferir códigos em um único momento, eles ainda têm dificuldade em identificar bugs complexos, como aqueles que ocorrem frequentemente em DeFi (finanças descentralizadas), onde "vários passos normais são executados em uma ordem maliciosa". A lição que este teste nos ensina é que, embora as ferramentas de segurança baseadas em IA possam se tornar assistentes poderosos para acelerar a descoberta de bugs na infraestrutura, o julgamento humano avançado é essencial para a triagem final.

A introdução da IA não resultou na perda de empregos humanos; ao contrário, pode-se dizer que o uso do tempo humano mudou da fase de verificação de hipóteses para a construção de infraestrutura de verificação e seleção de informações. Mesmo na era moderna de evolução das ferramentas, a importância da disciplina humana rigorosa na triagem permanece inalterada.

Preço de --

--

Aviso: Este conteúdo é fornecido apenas para fins de divulgação e informação geral da marca e não constitui aconselhamento financeiro, de investimento, jurídico ou tributário. Quaisquer eventos, recompensas, eventos online ou informações relacionadas mencionados neste documento não devem ser considerados uma recomendação, solicitação ou convite para comprar, vender, negociar ou de qualquer outra forma realizar transações com criptoativos ou usar quaisquer serviços. Criptoativos são altamente voláteis, e sua negociação pode resultar em perdas. Os serviços e eventos online da WEEX podem não estar disponíveis em todas as regiões e estão sujeitos às leis, regulamentos e requisitos de elegibilidade aplicáveis. É sua responsabilidade garantir que o uso dos serviços da WEEX esteja em conformidade com as leis locais e avaliar cuidadosamente os riscos antes de participar de quaisquer atividades relacionadas a criptomoedas.

Você também pode gostar

iconiconiconiconiconiconicon
Atendimento ao cliente:@weikecs
Parcerias comerciais:@weikecs
Quant trading e MM:[email protected]
Programa VIP:[email protected]