Zaklada Ethereum pokrenula je koordinirane AI agente protiv Ethereumovog osnovnog koda protokola i pronašla stvarne ranjivosti, uključujući živi CVE u ključnoj peer-to-peer biblioteci koja je sada zakrpana.
Vijesti o Ethereumu
AI agenti više ne pišu samo kod. Tim za sigurnost protokola Zaklade Ethereum usmjerio ih je na Ethereumovu vlastitu infrastrukturu i pronašli su stvarne ranjivosti.
Agenti umjetne inteligencije pronašli su prave greške, ali trijaža je odradila težak posao
Tim je rekao da samo otkriće nije iznenađenje. Ono što im je privuklo pozornost je koliko je malo vremena potrošeno na otkrivanje u usporedbi s radom koji je bio potreban da se utvrdi je li stvarna. Prema objavi, većina kandidata koje su izradili agenti bili su pogrešni, duplicirani ili izvan opsega. Razvrstavanje pravih grešaka od uvjerljivo izgledajućih lažno pozitivnih zahtijevalo je mnogo više truda tima nego generiranje kandidata.
Postavljanje koje je tim koristio pokreće više agenata paralelno protiv jedne mete. Umjesto da koriste središnji koordinator, agenti dijele stanje kroz samo spremište, pišući zahtjeve za kontrolu verzija gdje ih drugi agenti mogu vidjeti. Tim je rekao da je ovaj pristup prilagodio Anthropicovom objavljenom radu o izgradnji C kompajlera koristeći koordiniranu flotu agenata.
Svaki agent preuzima jednu od četiri uloge ovisno o tome što posao zahtijeva. Uloga izviđača pretvara površinu napada u specifične hipoteze koje se mogu provjeriti. Uloga lovca prati staze koda i pokušava izgraditi reproducirajućeg. Uloga popunjavanja praznina prati što je provjereno i generira sljedeću seriju hipoteza. Uloga provjere valjanosti neovisno ponovno provjerava svakog kandidata, uklanja duplikate i donosi konačnu odluku o tome računa li se nešto.
Prije nego što se kandidat može tretirati kao nalaz, mora ispuniti definiranu granicu: imenovanu metu i ulaznu točku koju napadač može stvarno dosegnuti, specifično svojstvo koje mora imati, mehanizam pomoću kojeg bi mogao zakazati, vidljivi dokaz o neuspjehu i samostalni reproducator koji radi protiv stvarnog koda za nekoga tko ga nije napisao.
Lažno pozitivni rezultati slijede predvidljive obrasce pri velikoj količini
Zahtjev za reproduciranje najvažniji je filtar tima, jer AI agenti proizvode manjkave verzije jednako brzo i pouzdano kao i važeće. Tri lažno pozitivna tipa pojavila su se više puta u radu tima. Prvi je panika koja se javlja samo u izradi za ispravljanje pogrešaka i nestaje u produkciji. Drugi je uređaj za reprodukciju koji ručno konstruira unutarnju vrijednost koju nikakav stvarni unos ne može doseći. Treći se odnosi na formalnu provjeru, gdje dokaz prolazi, ali zapravo ne ograničava ponašanje koje je trebao pokriti. Sva tri izgledaju vjerodostojno u pisanju i ne uspijevaju samo kada se pokrenu.
Tim je također odredio gdje su agenti istinski korisni, a gdje obmanjuju. Agenti su učinkoviti u čitanju specifikacije zajedno s kodom, navođenju i provjeravanju stvarnih invarijanti i izradi nacrta reproduciranja iz jednolinijske ideje. Bore se s lancima poziva koji izgledaju dostupni, ali nisu, s točnom procjenom ozbiljnosti i s greškama koje se pojavljuju samo u nizu valjanih koraka gdje je svaka pojedinačna radnja ispravna. Za posljednju kategoriju, tim je rekao da je uloga agenta sugerirati koje se sekvence isplati provući kroz snop testiranja stanja, a ne zamijeniti sam snop.
Tim je primijetio da stope prihvaćanja značajno variraju ovisno o cilju. Strogo revidirani, zreli kod gotovo da ne proizvodi preživjele, što je tim opisao kao valjan rezultat sam po sebi. Manje istraženi kod i formalno verificirani kod u kojem strojno provjereni dokaz pokriva model, ali se samo pretpostavlja da mu primijenjeni bajt kod odgovara, daje više. Sigurnosni istraživački timovi Cloudflarea i Anthropica opisali su isti obrazac, s tim da je Anthropicov agent za testiranje temeljen na svojstvima generirao otprilike 1000 izvješća kandidata prije nego što ih je stručni pregled suzio na najvišu razinu koja je izdržala oko 86% vremena.
U postu se zaključuje da umjetna inteligencija nije zamijenila sigurnosne istraživače, već se preselila tamo gdje njihovo vrijeme prolazi. Napori koji su prethodno bili usmjereni na generiranje i traženje hipoteza sada idu na izgradnju infrastrukture za provjeru, održavanje popisa poznatih problema i rukovanje otkrivanjem podataka. Tim je ovo opisao kao bolju lokaciju za ljudsku prosudbu, ali je jasno da ostaje usko grlo. Uključene prakse – ponovljivi kvarovi, stvarna proročanstva, pažljiva trijaža – iste su one koje su pretvorile fuzzing u standardnu sigurnosnu praksu u posljednjih 15 godina. Alati su novi; disciplina nije.
Ovaj članak sadrži poveznice na web-mjesta trećih strana ili drugi sadržaj samo u informativne svrhe (“mjesta trećih strana”). Web-mjesta trećih strana nisu pod kontrolom CoinMarketCap-a, a CoinMarketCap nije odgovoran za sadržaj bilo kojeg web-mjesta trećih strana, uključujući bez ograničenja bilo koju poveznicu sadržanu na web-mjestu treće strane ili bilo kakve promjene ili ažuriranja na web-mjestu treće strane. CoinMarketCap vam daje ove poveznice samo kao pogodnost, a uključivanje bilo koje poveznice ne podrazumijeva podršku, odobrenje ili preporuku CoinMarketCap stranice ili bilo kakvu povezanost s njezinim operaterima. Ovaj je članak namijenjen za korištenje i mora se koristiti samo u informativne svrhe. Važno je provesti vlastito istraživanje i analizu prije donošenja bilo kakve materijalne odluke u vezi s bilo kojim od opisanih proizvoda ili usluga. Ovaj članak nije namijenjen i ne smije se tumačiti kao financijski savjet. Stavovi i mišljenja izraženi u ovom članku su autorovi [company’s] vlastiti i ne odražavaju nužno one CoinMarketCap-a.







