AI agenti našli skutočnú chybu v Ethereu, ktorá mohla zhodiť validátorov
Ethereum Foundation práve ukázala, čo sa stane, keď na kód, na ktorom beží sieť, nasmerujete flotilu AI agentov. Jej tím pre bezpečnosť protokolu 9. júla odhalil, že koordinovaní agenti pomohli objaviť skutočnú chybu DoSť vážnu na to, aby dostala vlastné CVE.
Chyba sedela v gossipsube, časti peer-to-peer vrstvy, ktorú každý konsenzuálny klient Ethereum používa na šírenie blokov a atestácií. Odvtedy je opravená, no experiment hovorí rovnako veľa o AI ako o sieti.
Jedna správa, jeden pád
Chyba vedená ako CVE-2026-34219 umožnila ktorémukoľvek neoverenému peeru poslať jedinú upravenú správu, ktorá prinútila uzol vykonať nemožný výpočet a vypla ho, čím validátora odstavila, kým ho operátor nereštartoval. Keďže útočník sa mohol znova pripojiť a správu prehrať, pád sa dal lacno opakovať.
Základná príčina bola všedná, neošetrené aritmetické pretečenie v tom, ako softvér spracoval bežnú správu o odložení. Bola vyhodnotená ako stredne závažná a opravená vo verzii libp2p-gossipsub 0.49.4, pričom operátorov vyzvali na rýchlu aktualizáciu. Nadviazala aj na podobnú chybu v tom istom komponente, náznak, že oblasť si žiada bližší dohľad.
Produktom je triáž
Zaujímavejšie zistenie sa týkalo samotnej AI. Agenti boli rozdelení do rolí, prieskum, lov, dopĺňanie medzier a validácia, a koordinovali sa cez zdieľaný repozitár kódu namiesto centrálneho riadenia, prístup podľa práce s flotilou agentov.
Vygenerovali obrovské množstvo materiálu. Jeden agent vyprodukoval zhruba 1 000 kandidátov a len zlomok bol skutočný. Asi 86 percent najlepších tipov prežilo expertné preverenie, no väčšina označených problémov boli presvedčivé falošné poplachy, pády len v testovacích zostavách, útoky potrebujúce hodnoty, ktoré nik zvonka nedodá, a dôkazy, ktoré technicky platia, no neukazujú nič.
Preto nadácia zhrnula ponaučenie nie ako počet chýb, ale ako pracovný postup. „AI nenahradila bezpečnostného výskumníka. Presunula prácu.“ Úzke miesto sa presunulo od hľadania problémov k rozlišovaniu skutočných od šumu.
Čo to znamená pre držiteľov
Pre investorov do ETH z toho plynú dve veci. Dobrou správou je, že proces fungoval, stredne závažná chyba v kritickej infraštruktúre bola nájdená, opravená a zverejnená bez narušenia. Ťažšou pravdou je, že bezpečnostná plocha siete je obrovská, rozložená medzi mnoho klientov, jazykov a závislostí.
Metrikou, ktorú teraz stojí za to sledovať, je, ako rýchlo operátori uzlov reálne aktualizujú, pretože opravená chyba, ktorú polovica siete ignoruje, je stále živým rizikom. Nič z toho nemení spôsob, akým aktívum držíte, no je to pripomienka, že samosprávna úschova a aktuálny softvér sú dôležité, takže sa oplatí pozrieť najlepšie krypto peňaženky a všetko udržiavať aktuálne.
Širším signálom je, že AI sa posunula od auditu smart kontraktov k skúmaniu jadra sieťového kódu. Výskumníkov nenahradila. Len im podala oveľa väčšiu kopu na posúdenie.
Pre sieť, ktorá zabezpečuje stovky miliárd dolárov, môže tento posun v tom, ako sa chyby nachádzajú, nakoniec znamenať rovnako veľa ako jediná opravená chyba.
Aj preto sa oplatí sledovať nielen samotnú opravu, ale aj to, ako rýchlo ju validátori v celej sieti reálne nasadia.