**以太坊基金會(Ethereum Foundation)**表示,在一系列安全測試中,協同運作的AI 代理成功發現實際軟件錯誤,為即將到來、涉及多項協議重大改動的 以太坊 (ETH) 升級作好準備。
重點摘要
- AI 代理識別出真實漏洞,包括可由遠端觸發、導致共識客戶端失效的錯誤。
- 研究人員指,自動化系統雖擴大了覆蓋範圍,但同時產生不少極具說服力的假陽性。
- 人類安全專家目前仍不可或缺,負責驗證結果及判斷漏洞嚴重程度。
以太坊的 AI 安全測試
基金會的協議安全團隊在一篇文章中指出,其協同 AI 代理在審視以太坊程式碼時,確實找到多個漏洞,其中包括可於點對點網絡層遠端觸發的 panic 問題,該層為共識客戶端所依賴,相關錯誤現已由開發者修復。
研究團隊強調,出乎意料之處不在於 AI 能否找到錯誤,而是「找出錯誤」所需工作量,比起從眾多「看似合理」的報告中,分辨哪些是真實漏洞、哪些只是表面可信的誤報,反而要少得多。
團隊寫道:「真正令人驚訝的,是我們花在『找到漏洞』上的功夫,其實遠少於花在『將真 bug 從那些看起來也很真的假 bug 中分離出來』的時間。」
基金會把整個流程拆分為情報搜集、狩獵、補缺及驗證等角色,並借鑒 Anthropic 和 Cloudflare 早前的相關研究。團隊指,AI 代理在把技術規格對應到實際程式碼,以及推演可能的根本成因方面表現理想。
不過,系統有時會把實際上無法到達的呼叫鏈,誤判為可被利用的攻擊途徑,並傾向誇大漏洞的嚴重性。團隊表示,人類審核者仍需介入,測試報告中的漏洞是否真可觸發,以及評估其在實務上的實際風險。
團隊在文中補充:「AI 代理讓我們的覆蓋面遠超以人手檢查所能達到的水平;但交換條件,是我們要在一大堆聽起來信心十足的指控當中,作出更加謹慎的判斷。」
延伸閱讀:Cardano 創辦人 Charles Hoskinson 要離場?他斥報道為「徹頭徹尾的謊言」
以太坊安全策略大轉向
是次實驗,正值基金會收窄自身職能範圍,集中於底層協議開發、密碼學防護及緊急安全修補等核心工作。同時,基金會在 6 月亦提出計劃,把更多責任分散至更廣泛的以太坊生態圈。
這家非牟利機構已裁減約 20% 人手,年度預算亦幾乎腰斬,並解散包括 Protocol Support 在內的部分團隊。與此同時,Ethlabs 和 Ethereum Institutional 等新組織陸續出現,為社群提供額外研究產能。
整體架構重整與「精實以太坊(Lean Ethereum)」路線圖密切相關。Vitalik Buterin 早前表示,該路線可能需時約四年落實,期間會影響多個網絡組件,目標是提升網絡性能與穩定性,同時加強抵禦未來量子運算威脅的能力。
以太坊上一次具相近影響力的轉變,是「合併(The Merge)」,當時網絡由工作量證明(PoW)挖礦,轉換為權益證明(PoS)驗證機制。今次安全層面的大規模部署,反映出新一輪架構重設帶來的工程負擔,遠較以往為重。





