La Ethereum Foundation ha reso noto che una batteria coordinata di agent IA ha individuato bug reali durante i test di sicurezza, mentre Ethereum (ETH) si prepara a importanti modifiche del protocollo.
Punti chiave:
- Gli agent IA hanno individuato vere vulnerabilità, incluso un malfunzionamento del client di consenso attivabile da remoto.
- I ricercatori affermano che i sistemi automatici ampliano la copertura, ma generano anche falsi positivi molto convincenti.
- Gli esperti di sicurezza umani restano cruciali per validare i risultati e valutarne la gravità.
I test di IA su Ethereum
Il team Protocol Security della fondazione ha spiegato che gli agent coordinati hanno scoperto vulnerabilità reali analizzando il codice di Ethereum, tra cui un “panic” attivabile da remoto nel livello peer-to-peer utilizzato dai client di consenso. Gli sviluppatori hanno già corretto il problema.
Secondo i ricercatori, il dato sorprendente non è tanto che gli agent abbiano trovato bug, quanto il fatto che rilevarli abbia richiesto meno lavoro rispetto allo sforzo necessario per distinguere le segnalazioni valide dagli errori solo apparentemente credibili.
«La vera sorpresa è stata quanto poco lavoro servisse per trovarli, e quanto invece fosse impegnativo separare i bug veri da quelli che sembravano tali», ha scritto il team.
La fondazione ha suddiviso il flusso di lavoro in fasi di ricognizione, caccia, colmatura delle lacune e validazione, ispirandosi a precedenti ricerche di Anthropic e Cloudflare. Gli agent si sono dimostrati efficaci nel collegare specifiche e codice e nel proporre possibili cause radice dei problemi.
Tuttavia, i sistemi talvolta hanno interpretato come sfruttabili catene di chiamate in realtà irraggiungibili e hanno sovrastimato la gravità di alcune falle. Il team sottolinea che i revisori umani devono ancora verificare se le vulnerabilità segnalate siano effettive e stimarne l’impatto pratico.
«Gli agent ci permettono di coprire un perimetro molto più ampio rispetto al lavoro manuale», si legge nel post. «In cambio, però, richiedono un giudizio molto più accorto, su una pila molto più grande di segnalazioni che suonano tutte sicure di sé.»
Vedi anche: Charles Hoskinson sta lasciando Cardano? Lui definisce la voce una completa bugia
La svolta sulla sicurezza di Ethereum
L’esperimento arriva mentre la fondazione restringe il proprio perimetro operativo allo sviluppo del livello base, alle protezioni crittografiche e agli interventi di sicurezza più urgenti. A giugno ha inoltre illustrato piani per distribuire maggiori responsabilità all’interno del più ampio ecosistema Ethereum.
L’ente non profit ha ridotto il personale del 20% e quasi dimezzato il budget annuale, chiudendo tra l’altro il team Protocol Support. Nel frattempo sono nati nuovi gruppi, tra cui Ethlabs ed Ethereum Institutional, per aumentare la capacità di ricerca.
Il riassetto è legato alla proposta di roadmap “Lean Ethereum”, che Vitalik Buterin ha stimato possa richiedere quattro anni. Il piano impatterà su diversi componenti della rete, con l’obiettivo di migliorare le prestazioni, rafforzare la resilienza e aumentare le difese contro le future minacce del calcolo quantistico.
L’ultimo passaggio di portata paragonabile è stato The Merge, che ha trasformato la rete passando dal mining proof-of-work alla validazione proof-of-stake. L’attuale sforzo sulla sicurezza riflette il carico ingegneristico aggiuntivo imposto da un’ulteriore, profonda riprogettazione.
Da leggere dopo: Palantir taglia 50 ingegneri e un quarto della sua valutazione: cosa è andato storto?





