Quỹ Ethereum cho biết các tác nhân AI đang phát hiện ra các lỗi thực sự trong giao thức, việc xác minh thủ công vẫn rất quan trọng.

Hôm thứ Năm, Quỹ Ethereum (EF) tuyên bố rằng trí tuệ nhân tạo (AI) đang trở thành một công cụ ngày càng hiệu quả trong việc xác định các lỗ hổng trong phần mềm giao thức của Ethereum.

Quỹ Ethereum cho biết các tác nhân AI đang phát hiện ra các lỗi thực sự trong giao thức, việc xác minh thủ công vẫn rất quan trọng.
Quỹ Ethereum cho biết các tác nhân AI đang phát hiện ra các lỗi thực sự trong giao thức
  • Quỹ Ethereum tuyên bố rằng các tác nhân AI đang giúp phát hiện các lỗ hổng trong giao thức, nhưng mọi phát hiện đều cần được con người xem xét kỹ lưỡng trước khi được chấp nhận.
  • Cần có các bằng chứng về khả năng khai thác lỗ hổng có thể tái tạo để xác nhận các lỗ hổng và loại bỏ các kết quả dương tính giả phát sinh trong quá trình phân tích bằng trí tuệ nhân tạo.
  • EF cho biết thêm, AI đã chuyển hướng nghiên cứu bảo mật từ việc tìm lỗi sang việc xác minh xem các lỗ hổng được báo cáo có phải là thật và có đáng được công bố hay không.

Hôm thứ Năm, Quỹ Ethereum (EF) tuyên bố rằng trí tuệ nhân tạo (AI) đang trở thành một công cụ ngày càng hiệu quả trong việc xác định các lỗ hổng trong phần mềm giao thức của Ethereum.

Tổ chức Ethereum Foundation sử dụng trí tuệ nhân tạo để phát hiện các lỗ hổng trong giao thức.

Nhóm Bảo mật Giao thức của Quỹ đã trình bày chi tiết trong một bài đăng trên blog về cách họ triển khai các tác nhân AI phối hợp để kiểm tra cơ sở hạ tầng Ethereum quan trọng, bao gồm phần mềm hệ thống, mã mật mã và hợp đồng thông minh.

Một ví dụ là lỗi nghiêm trọng có thể kích hoạt từ xa trong giao thức mạng Gossipsub của libp2p, một thành phần cốt lõi được sử dụng bởi các máy khách đồng thuận của Ethereum. Vấn đề này đã được vá và công khai với mã CVE-2026-34219, và nhóm Bảo mật Giao thức được ghi nhận công lao trong việc này.

Tuy nhiên, Quỹ này lưu ý rằng việc phát hiện ra lỗi không phải là điều gây sốc nhất.

EF viết: "Điều bất ngờ là công sức bỏ ra để tìm ra chúng lại rất ít, trong khi công sức bỏ ra lại rất nhiều để phân biệt những con côn trùng thật với những con trông giống thật."

Tổ chức này đã so sánh các tác nhân AI với các công cụ kiểm thử mờ (fuzzing). Trong khi các công cụ kiểm thử mờ truyền thống thường tạo ra lỗi và dấu vết ngăn xếp, các tác nhân AI tạo ra đầu ra chi tiết hơn nhiều, bao gồm báo cáo lỗ hổng, các đường dẫn khai thác tiềm năng, đánh giá mức độ nghiêm trọng và mã chứng minh khái niệm.

Mặc dù vậy, tổ chức này cảnh báo rằng số lượng lỗ hổng bảo mật do AI tạo ra không nên được coi là thước đo thành công.

"Vì vậy, đừng đếm số lượng ứng viên mà một người môi giới giới thiệu. Hãy đếm xem bao nhiêu người thực sự là ứng viên tiềm năng," Quỹ viết.

Để nâng cao độ tin cậy, nhóm Bảo mật Giao thức chạy đồng thời nhiều tác nhân AI trên cùng một mã nguồn, giao cho chúng các nhiệm vụ chuyên biệt như trinh sát, tìm kiếm lỗ hổng, xác thực và phân tích phạm vi bao phủ.

Thay vì dựa vào một điều phối viên trung tâm, các tác nhân cộng tác thông qua các kho lưu trữ chung và hệ thống kiểm soát phiên bản, cho phép mỗi người xây dựng dựa trên công việc của người khác đồng thời tự mình xác minh các phát hiện.

Tổ chức này tuyên bố rằng không có vấn đề bảo mật nào được coi là hợp lệ trừ khi nó có thể được tái hiện bằng một bằng chứng khái niệm độc lập chạy trên mã sản phẩm thực tế, chứ không phải trong môi trường thử nghiệm nhân tạo.

Bài đăng trên blog đã nêu bật một số nguồn gây ra lỗi dương tính giả phổ biến. Chúng bao gồm các sự cố chỉ xảy ra trong các bản dựng gỡ lỗi, các cuộc khai thác chứng minh khái niệm dựa trên các đường dẫn thực thi bất khả thi và các bằng chứng xác thực hình thức về mặt kỹ thuật là đạt yêu cầu nhưng lại không xác thực được thuộc tính bảo mật dự định.

Quỹ Ethereum lưu ý rằng hầu hết các phát hiện do AI tạo ra cuối cùng đều không chính xác, trùng lặp hoặc nằm ngoài phạm vi kiểm toán dự định. Mỗi ứng viên còn lại đều trải qua quá trình xác thực độc lập để xác định xem liệu nó có thể bị khai thác trên thực tế hay không và liệu tác động tiềm tàng có đủ để biện minh cho việc điều tra hoặc tiết lộ thêm hay không.

Mặc dù trí tuệ nhân tạo cho phép các nhà nghiên cứu kiểm tra nhiều mã hơn so với chỉ xem xét thủ công, EF nhấn mạnh rằng sự giám sát của con người vẫn là yếu tố quyết định trong việc xác định những phát hiện nào là xác thực và những phát hiện nào cuối cùng nên được thực hiện.

💡
Tham gia cộng đồng ZALO Giao Lộ Đầu Tư để trao đổi kinh nghiệm chiến lược đầu tư Vàng, Bạc, Crypto hàng ngày

Tham khảo kế hoạch giao dịch VÀNG - TIỀN TỆ mới nhất hàng ngày tại TELEGRAM: Giao Lộ Đầu Tư

Michael Ebiekutan

Đọc thêm