1. 首页 > 研报

AI发现漏洞难验证:以太坊基金会揭示安全新挑战

Ai总结: 以太坊基金会披露,尽管AI代理成功识别出真实漏洞(如CVE-2026-34219),但验证过程耗时远超生成报告本身。团队强调人工复现与可证明性仍是安全防线核心。

AI辅助发现漏洞后,验证成本远高于生成

以太坊基金会指出,当前最严峻的挑战并非发现漏洞,而是对AI生成的报告进行有效验证。尽管代理已成功定位真实缺陷,但其输出中大量包含误报或不可复现的结论,导致资源被严重消耗。

多智能体协同机制用于过滤无效报告

为提升筛选效率,基金会部署多个独立运行的AI代理,围绕同一代码库执行分阶段审查任务。各代理通过版本控制系统共享状态,无需中央调度,形成去中心化协作流程。工作流从全局侦察开始,逐步聚焦于可测试的攻击路径。

可复现性与证据完整性成为准入门槛

所有被纳入评估的报告必须满足严格标准:明确可达目标、定义清晰的安全不变量、解释失效机理、提供可观测证据、附带自包含复现环境,并具备唯一去重标识。这些要求确保每项声明均可在真实生产代码中直接验证。

基金会强调,唯有外部研究人员能在实际代码库中重现该问题,该漏洞才被视为成立。这一原则有效排除了基于调试模式崩溃、形式化验证误读或不可能攻击路径的虚假报告。

此外,候选漏洞还需评估其现实可利用性。对网络参与者开放触发的缺陷,其风险等级显著高于依赖特权访问或极端计算条件的漏洞。

研究团队指出,当涉及复杂交互序列或隐蔽状态转移时,AI代理在判断漏洞可达性与危害程度方面仍表现不稳定。此时,其作为有状态测试框架的补充工具价值,远超替代专业安全研究员的潜力。

免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。