以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代

🛡️ 以太坊近日公布了一项具有里程碑意义的实践 其协议安全团队引入AI智能体对核心客户端软件执行深度审计,测试过程中AI表现出惊人的敏锐度,在消息传播协议中精准捕获了一个高危隐患,该漏洞编号为CVE-2026-34219允许远程攻击者通过构造特定消息触发节点崩溃,直接导致验证者离线,目前该缺陷已被悄然修复,避免了潜在的网络动荡

🔍 此次发现验证了AI在代码审计领域的巨大潜力,然而以太坊团队同时发出警示,AI并非万能银弹,当前面临的最大挑战并非寻找漏洞,而是如何从海量报告中甄别真伪,安全研究人员发现AI常陷入"幻觉",它不仅会生成看似合理的漏洞描述,甚至能编写出逻辑通顺的攻击代码,指向一些根本不存在的问题。

针对AI的典型误报 以太坊总结了三大类别

第一是环境依赖型崩溃。这类问题仅存在于测试框架中,无法在生产环境复现

第二是理论攻击路径。AI推演出的攻击链条在真实网络拓扑或资源限制下根本无法落地

第三是形式化验证的无效证明。即AI在数学推导中出现逻辑跳跃,得出了错误的确定性结论

💻 以本次发现的CVE-2026-34219为例,该漏洞潜伏在Gossipsub协议的消息处理逻辑中,相关代码片段涉及对入站消息参数的边界校验

// 伪代码示例:存在缺陷的消息处理函数

void process_gossip_message(Message* msg) {

// AI发现的漏洞点:未严格校验msg->payload_size与实际负载的匹配度

// 攻击者构造payload_size远大于实际数据长度的恶意消息

// 导致后续内存分配或拷贝操作发生整数溢出或越界访问

uint8_t* buffer = malloc(msg->payload_size);

memcpy(buffer, msg->payload, msg->payload_size);

// 触发节点守护进程崩溃

}

AI之所以能捕捉到这一点,是因为它遍历了海量数据流,识别出在特定字节序列输入下程序状态的异常偏离,但这依然需要人类专家确认该异常是否构成实质性威胁。

🧠 更深层次的局限在于AI对复杂攻击链的无力感,目前的AI模型擅长静态分析孤立的代码缺陷,却难以理解动态语境,现实世界中许多毁灭性攻击并非源于单一错误,而是由多个看似合法的微小操作组合而成,这种跨模块、跨时序的复杂逻辑交互正是AI的盲区,也是今年众多加密协议沦陷的根源。

🤝 展望未来,以太坊规划了一条人机协同的进阶之路,他们将利用AI的发散思维能力,辅助生成尽可能多的潜在攻击路径假设,随后由自动化测试工具进行可行性爆破 最终交由安全专家进行最终研判,这种"AI广撒网 人工精捕捞"的模式,既提升了漏洞挖掘的效率,又守住了安全审查的底线,再次证明了在网络安全这场永无止境的攻防战中,人类智慧依然是那道不可替代的最后防线。

ChainSafeAI(链熵科技)是一家专注于区块链安全公司,以"数据驱动 + 技术赋能"构建360°全方位安全防护体系,服务于交易所、金融机构、OTC服务商及加密资产投资者。

公司提供覆盖KYT风险监测、智能合约审计、加密资产追踪、区块链漏洞测试等在内的全维度安全与合规技术解决方案,助力客户防范洗钱、诈骗等风险,保障业务合规运行。

通过实时风险预警、合规审查与资金溯源分析,协助客户识别链上异常行为、防范洗钱及诈骗风险、降低被盗损失并提升资产追回可能性。

相关推荐
观测云1 小时前
观测云正式发布企业级可观测智能体 AI Agent Teams
人工智能
逐米时代1 小时前
制造企业智能体趋势从单点应用走向协同智能
人工智能
Mark White1 小时前
具身智能论文伴读-第一期
人工智能·深度学习·语言模型
stonewl25991 小时前
2026化工行业 GHS/CLP 国产标签打印软件合规打印方案
大数据·人工智能·物联网
世***y2 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
Wzx1980122 小时前
Redis&ES——Retriever的抽象实现
数据库·人工智能·redis·elasticsearch
A8ai_napiai2 小时前
Claude内部发现“J空间“:AI可解释性从“黑箱猜测“到“结构验证“
人工智能
xywww1682 小时前
AWS 账号权限怎么分:根用户和 IAM 用户区别及日常使用建议
大数据·开发语言·人工智能·python·gpt·云计算·aws
一键生成网站2 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·