イーサリアム財団は、今後予定される大規模なプロトコル変更を前に実施したセキュリティテストで、協調動作するAIエージェントが実際のソフトウエア不具合を発見したと明らかにした。対象はイーサリアム(ETH)のコアコードだ。
重要ポイント
- AIエージェントは、遠隔から誘発可能なコンセンサスクライアント障害を含む、実在の脆弱性を検出した。
- 自動化システムにより検査範囲は拡大したものの、もっともらしい誤検知も多数生じた。
- 報告内容の真偽と深刻度を見極めるうえで、人間のセキュリティ専門家は依然として不可欠だ。
イーサリアムにおけるAI活用テスト
財団のProtocol Securityチームは、協調的に動作するエージェント群を使いイーサリアムのコードを精査した結果、コンセンサスクライアントで用いられるピア・ツー・ピア層において、遠隔操作でパニックを引き起こし得る不具合など、実在の脆弱性を突き止めたと説明している。当該問題はすでに開発者によって修正済みだ。
研究チームによれば、驚きだったのは「AIがバグを見つけたこと」そのものではなく、「検出自体に要した労力よりも、真の脆弱性ともっともらしい誤検知を選り分ける作業の方がはるかに重かった」という点だ。
チームは「本当に意外だったのは、バグを見つける作業自体に要する労力が小さく、その後、本物に見える“ニセモノ”と真のバグを見分ける作業に膨大な時間を取られたことだ」と記している。
財団は、先行するAnthropicやCloudflareの研究を踏まえ、ワークフローをリコン(偵察)、ハンティング(探索)、ギャップフィリング(抜け漏れ補完)、バリデーション(検証)といった役割に分割。仕様とコードを結びつけ、潜在的な根本原因を提案するといったタスクでは、エージェントが高い性能を示したという。
一方で、システムが実際には到達不可能なコールチェーンを“悪用可能”と誤認したり、脆弱性の深刻度を過大評価したりするケースも見られた。チームは、報告された脆弱性が本当に現実世界で悪用可能か、また実務的にどの程度の影響を持つのかを判断するうえで、人間のレビューアが依然として不可欠だと強調する。
投稿では「エージェントを使うことで、人手だけでは到底カバーできない範囲まで踏み込めるようになった」としつつ、「その代償として、もっと慎重な判断が求められる。しかも、非常に自信ありげな主張が山のように積み上がる中で、それをやらなければならない」と述べている。
関連記事: チャールズ・ホスキンソンはカルダノを去るのか? 本人は『完全な嘘だ』と否定
セキュリティ体制転換の文脈
こうしたAI活用の実験は、イーサリアム財団が今後の役割を「ベースレイヤーの開発」「暗号技術による保護」「緊急度の高いセキュリティ対応」に絞り込みつつあるタイミングで行われている。財団は6月、より多くの責任と作業を、広範なイーサリアム・エコシステム全体へ分散させていく方針も示した。
非営利団体である同財団は、人員を約20%削減するとともに、年間予算もほぼ半減。Protocol Supportチームなど複数のチームを閉鎖する一方で、追加的な研究能力を補う組織としてEthlabsやEthereum Institutionalなど新たなグループが立ち上がっている。
こうした大規模な組織再編は、提案中の「Lean Ethereum」ロードマップと連動している。同計画について、共同創設者のヴィタリック・ブテリンは完了まで最大4年を要する可能性があると見積もる。このロードマップは、ネットワークの複数コンポーネントに影響を与えつつ、高速化、耐障害性の強化、将来の量子コンピュータ脅威への備えを図るものだ。
イーサリアムにとって、今回に匹敵する規模の移行は、プルーフ・オブ・ワーク(PoW)からプルーフ・オブ・ステーク(PoS)への移行を実現した「マージ」以来となる。現在進められているセキュリティ強化は、次の大規模な設計変更が生むエンジニアリング負荷に先回りして対処する動きとも言える。





