mt logoMyToken
ETH Gas
EN

イーサリアム財団、AIエージェント活用でプロトコル脆弱性を探索 バグを修正

Favoritecollect
Shareshare

イーサリアム財団(EF)のプロトコルセキュリティチームは9日、複数のAIエージェントをイーサリアムのプロトコルコードに投入して脆弱性探索を実施し、実際のバグを発見・修正したと公表した。対象はシステムソフトウェア、暗号コード、スマートコントラクトなど、ネットワークが依存するコンポーネント全般だという。

発見されたバグのうち1件はすでに公開されている。コンセンサスクライアントが利用するピアツーピア層のコアを担う「libp2p」のゴシップサブプロトコルに、遠隔から引き起こせる異常終了(パニック)が存在することが判明し、CVE-2026-34219として修正・開示された。

AIエージェントには「偵察」「探索」「カバレッジ補完」「検証」の4つの役割が設けられた。エージェント群はリポジトリを共有ステートとして並列稼働し、中央管理プロセスを持たない分散型の構成を採用した。

チームが強調したのは、バグの発見に費やした工数の少なさではなく、「本物のバグと本物らしく見えるだけのものとを見分ける作業」に大半の時間が費やされた点だ。デバッグビルドでしか再現しないパニックや、実際には到達不可能なコードパスを前提とした再現コードなど、候補の多くが誤検知だったと説明した。

こうした状況を踏まえ、チームは「自己完結した再現コードが実際のコードに対して動作するまで、候補をバグとして計上しない」という原則を設けた。再現コードはレポートの内容を読まず、モデルがどれほど確信を持って記述したかにも依存しない——動作するか否かだけが基準だと述べた。

同様の手法は他組織も採用している。アンソロピックのフロンティア・レッドチームは性質テストを生成するエージェントを開発してPythonエコシステムで実際のバグを複数発見し、クラウドフレアも同社システムに対して最先端モデルを使ったセキュリティ調査を実施した。

また4月には、アンソロピックの「クロード・ミュトス」がモジラのファイアフォックスブラウザで271件の脆弱性を発見したことが報告されている。

EFのプロトコルセキュリティチームは、「AIはセキュリティ研究者を代替したのではなく、作業を移動させた。仮説の立案と追跡に費やされていた時間が、大量の候補の判断へと移行した。人間の判断が本当に重要なのはその部分だ」と述べた。

Disclaimer: This article is copyrighted by the original author and does not represent MyToken’s views and positions. If you have any questions regarding content or copyright, please contact us.(www.mytokencap.com)contact
More exciting content is available on
X(https://x.com/MyTokencap)
or join the community to learn more:MyToken-English Telegram Group
https://t.me/mytokenGroup