mt logoMyToken
ETH Gas
简体中文

イーサリアム財団、AIエージェント活用でプロトコル脆弱性を探索 バグを修正

收藏collect
分享share

イーサリアム財団(EF)のプロトコルセキュリティチームは9日、複数のAIエージェントをイーサリアムのプロトコルコードに投入して脆弱性探索を実施し、実際のバグを発見・修正したと公表した。対象はシステムソフトウェア、暗号コード、スマートコントラクトなど、ネットワークが依存するコンポーネント全般だという。

発見されたバグのうち1件はすでに公開されている。コンセンサスクライアントが利用するピアツーピア層のコアを担う「libp2p」のゴシップサブプロトコルに、遠隔から引き起こせる異常終了(パニック)が存在することが判明し、CVE-2026-34219として修正・開示された。

AIエージェントには「偵察」「探索」「カバレッジ補完」「検証」の4つの役割が設けられた。エージェント群はリポジトリを共有ステートとして並列稼働し、中央管理プロセスを持たない分散型の構成を採用した。

チームが強調したのは、バグの発見に費やした工数の少なさではなく、「本物のバグと本物らしく見えるだけのものとを見分ける作業」に大半の時間が費やされた点だ。デバッグビルドでしか再現しないパニックや、実際には到達不可能なコードパスを前提とした再現コードなど、候補の多くが誤検知だったと説明した。

こうした状況を踏まえ、チームは「自己完結した再現コードが実際のコードに対して動作するまで、候補をバグとして計上しない」という原則を設けた。再現コードはレポートの内容を読まず、モデルがどれほど確信を持って記述したかにも依存しない——動作するか否かだけが基準だと述べた。

同様の手法は他組織も採用している。アンソロピックのフロンティア・レッドチームは性質テストを生成するエージェントを開発してPythonエコシステムで実際のバグを複数発見し、クラウドフレアも同社システムに対して最先端モデルを使ったセキュリティ調査を実施した。

また4月には、アンソロピックの「クロード・ミュトス」がモジラのファイアフォックスブラウザで271件の脆弱性を発見したことが報告されている。

EFのプロトコルセキュリティチームは、「AIはセキュリティ研究者を代替したのではなく、作業を移動させた。仮説の立案と追跡に費やされていた時間が、大量の候補の判断へと移行した。人間の判断が本当に重要なのはその部分だ」と述べた。

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。
更多精彩内容请查阅
X(https://x.com/MyTokencap)
或加入社区了解更多MyToken-官方华文电报群
https://t.me/mytoken_cn
相关阅读