イーサリアム財団は、大規模なプロトコル変更を前に実施したセキュリティテストで、協調動作するAIエージェントが実在するソフトウェアの不具合を洗い出したと明らかにした。対象となったのは、暗号資産イーサリアム(ETH)(ETH)の基盤コードだ。
要点
- AIエージェントは、遠隔から引き起こされるコンセンサスクライアントの障害など、実際の脆弱性を特定。
- 自動化によりテスト範囲は拡大した一方、もっともらしい「誤検知」も多く生成。
- 報告内容の真偽や深刻度を見極めるには、人間のセキュリティ専門家が依然として不可欠。
イーサリアムのAIセキュリティテスト
財団のプロトコルセキュリティチームは、協調的に動く複数のエージェントを用いてイーサリアムのコードを精査した結果、コンセンサスクライアントが利用するピア・ツー・ピア層で、遠隔操作によりパニック(異常終了)を誘発しうる欠陥を突き止めたと報告している。この問題については、すでに開発者側で修正が完了している。
研究者らによれば、意外だったのは「AIがバグを見つけたこと」そのものではなく、真に重要だった作業が、発見ではなく結果の「ふるい分け」にあった点だという。
チームは「本当に驚かされたのは、バグを見つける作業そのものよりも、『本物』のバグと、それらしく見えるだけのものを見分ける作業に、はるかに多くの労力がかかったことだ」と記している。
財団はワークフローを偵察(リサーチ)、ハンティング(探索)、ギャップフィリング(抜け漏れ補完)、検証という役割に分け、AnthropicやCloudflareによる先行研究を踏まえてエージェントを設計した。仕様とコードのひも付けや、原因となり得る箇所の仮説提示といったタスクでは、AIが高いパフォーマンスを見せたという。
一方で、実際には到達不能なコールチェーンを「悪用可能」と誤認したり、脆弱性の深刻度を過大評価するケースも見られた。チームは、報告された脆弱性が本当に攻撃に利用可能か、また実務上どれほどの影響を持つのかについては、人間のレビューが不可欠だと強調する。
投稿では「エージェントを使えば、人手だけでは到底カバーできない範囲まで踏み込める」としたうえで、「その代償として、もっともらしく聞こえる大量の指摘について、より慎重な判断を下す必要が出てくる」と述べている。
あわせて読みたい: チャールズ・ホスキンソンはカルダノを去るのか? 本人は『完全なでっち上げ』と一蹴
セキュリティ強化と組織再編
この実験は、イーサリアム財団が活動領域をベースレイヤー開発、暗号技術による保護、高優先度のセキュリティ修正といった中核分野に絞り込もうとしているタイミングで行われたものだ。6月には、より幅広いイーサリアム・エコシステムへ責任と役割を分散させる方針も公表している。
財団はこれまでに人員を約2割削減し、年間予算もほぼ半減させた。プロトコルサポートなど一部チームの閉鎖が進む一方、EthlabsやEthereum Institutionalといった新組織が立ち上がり、追加的なリサーチ機能を担い始めている。
こうした大規模な見直しは、提案されている「Lean Ethereum」ロードマップと結び付いている。共同創設者のヴィタリック・ブテリンは、このロードマップの完遂には4年程度を要する可能性があるとの見方を示している。計画ではネットワークの複数コンポーネントに手を入れ、トランザクション処理の高速化、耐障害性の向上、将来的な量子コンピューターによる攻撃リスクへの備えなどを狙う。
イーサリアムにとって、これに匹敵する規模の転換は、「マージ」以来だ。マージではネットワークのコンセンサス方式がプルーフ・オブ・ワーク(PoW)からプルーフ・オブ・ステーク(PoS)へと切り替わった。今回のセキュリティ強化は、再度の大掛かりなアーキテクチャ刷新に伴い、エンジニアリング面での負担が増すことを見越した対応でもある。





