Yayasan Ethereum mengatakan agen AI menemukan bug protokol yang nyata, verifikasi manusia tetap krusial
| |terjemahan otomatisLihat Artikel Asli- Ethereum Foundation menyatakan agen AI membantu mengungkap kerentanan protokol, tetapi setiap temuan memerlukan tinjauan manusia yang ketat sebelum diterima.
- Eksploit proof-of-concept yang dapat direproduksi diperlukan untuk mengonfirmasi kerentanan dan menghilangkan false positive yang dihasilkan selama analisis AI.
- EF menambahkan AI menggeser riset keamanan dari menemukan bug menjadi memverifikasi kerentanan yang dilaporkan mana yang benar-benar nyata dan layak diungkap.
Ethereum Foundation (EF) menyatakan pada Kamis bahwa kecerdasan buatan (AI) semakin menjadi alat yang efektif untuk mengidentifikasi kerentanan dalam perangkat lunak protokol Ethereum.
Ethereum Foundation menggunakan AI untuk mengungkap kerentanan protokol
Tim Protocol Security Foundation merinci dalam sebuah posting blog bagaimana mereka telah menerapkan agen AI terkoordinasi untuk mengaudit infrastruktur penting Ethereum, termasuk perangkat lunak sistem, kode kriptografi, dan kontrak pintar.
Salah satu contohnya adalah panic yang dapat dipicu dari jarak jauh dalam protokol jaringan Gossipsub milik libp2p, komponen inti yang digunakan oleh klien konsensus Ethereum. Masalah tersebut sejak itu telah ditambal dan diungkap secara publik sebagai CVE-2026-34219, dengan kredit diberikan kepada tim Protocol Security.
Namun, Foundation mencatat bahwa menemukan bug bukanlah kejutan terbesar.
"Kejutannya adalah betapa sedikit pekerjaan yang dihabiskan untuk menemukannya, dan betapa banyak yang dihabiskan untuk membedakan bug yang nyata dari yang hanya tampak nyata," tulis EF.
Foundation membandingkan agen AI dengan alat fuzzing. Sementara fuzzers tradisional biasanya menghasilkan crash dan stack trace, agen AI menghasilkan keluaran yang jauh lebih rinci, termasuk laporan kerentanan, jalur eksploitasi potensial, penilaian tingkat keparahan, dan kode proof-of-concept.
Meski demikian, organisasi tersebut memperingatkan bahwa jumlah kerentanan yang dihasilkan AI tidak boleh dianggap sebagai ukuran keberhasilan.
"Jadi jangan hitung berapa banyak kandidat yang dihasilkan agen. Hitung berapa banyak yang ternyata nyata," tulis Foundation.
Untuk meningkatkan keandalan, tim Protocol Security menjalankan beberapa agen AI secara bersamaan pada basis kode yang sama, dengan memberikan tugas khusus seperti pengintaian, perburuan kerentanan, validasi, dan analisis cakupan.
Alih-alih mengandalkan koordinator pusat, para agen berkolaborasi melalui repositori bersama dan kontrol versi, sehingga masing-masing dapat membangun dari pekerjaan agen lain sambil memverifikasi temuan secara independen.
Foundation menyatakan bahwa tidak ada masalah keamanan yang dianggap valid kecuali dapat direproduksi menggunakan proof of concept mandiri yang berjalan pada kode produksi yang sebenarnya, bukan dalam lingkungan pengujian buatan.
Blog tersebut menyoroti beberapa sumber umum false positive. Ini termasuk crash yang hanya terjadi pada build debug, eksploit proof-of-concept yang didasarkan pada jalur eksekusi yang mustahil, dan bukti verifikasi formal yang secara teknis lolos tetapi gagal memvalidasi properti keamanan yang dimaksud.
Ethereum Foundation mencatat bahwa sebagian besar temuan yang dihasilkan AI pada akhirnya terbukti salah, duplikat, atau berada di luar cakupan audit yang dimaksud. Setiap kandidat yang bertahan menjalani validasi independen untuk menentukan apakah kerentanannya realistis untuk dieksploitasi dan apakah potensi dampaknya membenarkan penyelidikan atau pengungkapan lebih lanjut.
Walaupun AI memungkinkan peneliti memeriksa jauh lebih banyak kode dibandingkan tinjauan manual saja, EF menegaskan bahwa pengawasan manusia tetap menjadi faktor penentu dalam menentukan temuan mana yang benar-benar nyata dan mana yang pada akhirnya harus ditindaklanjuti.
Informasi di halaman ini berisi pernyataan berwawasan ke depan yang melibatkan risiko dan ketidakpastian. Pasar dan instrumen yang diprofilkan di halaman ini hanya untuk tujuan informasi dan tidak boleh dianggap sebagai rekomendasi untuk membeli atau menjual aset ini. Anda harus melakukan riset menyeluruh sebelum membuat keputusan investasi apa pun. FXStreet sama sekali tidak menjamin bahwa informasi ini bebas dari kesalahan, kekeliruan, atau salah saji material. Ini juga tidak menjamin bahwa informasi ini bersifat tepat waktu. Berinvestasi di Pasar Terbuka melibatkan banyak risiko, termasuk kehilangan semua atau sebagian dari investasi Anda, serta tekanan emosional. Semua risiko, kerugian, dan biaya yang terkait dengan investasi, termasuk kerugian pokok, adalah tanggung jawab Anda. Pandangan dan pendapat yang diungkapkan dalam artikel ini adalah milik penulis dan tidak mencerminkan kebijakan resmi atau posisi FXStreet maupun pengiklannya.