以太坊基金会(Ethereum Foundation)表示,在最新一轮安全测试中,协同工作的AI 代理人成功发现了真实的软件缺陷。随着以太坊(Ethereum)(ETH)为新一轮重大协议升级做准备,AI 正被引入核心安全流程。
要点速览
- 多个 AI 代理人联合作业,识别出真实安全漏洞,其中包括可被远程触发的共识客户端故障。
- 研究人员称,自动化系统显著扩大了测试覆盖面,但同时产生了大量“看上去很可信”的误报。
- 人类安全专家仍是判定漏洞真伪及严重程度的关键一环。
AI 代理参与以太坊安全测试
基金会协议安全团队在一篇说明文章中表示,其部署的一组协调 AI 代理人在审查以太坊代码时,确实挖出了实质性问题,包括:在共识客户端使用的点对点(P2P)网络层中,存在可被远程触发的 panic 异常。开发者已对相关缺陷完成修复。
团队指出,真正出乎意料的地方不在于“AI 能找到漏洞”,而在于“找到漏洞本身并不费力,过滤假阳性反而更难”。
团队写道:“真正让我们吃惊的是:找到那些漏洞所花的功夫远比想象得少,而从一堆看似靠谱的报告中,筛出真正的漏洞,却成了主要工作量。”
为了发挥 AI 的长处,基金会将工作流拆分为多个角色:前期侦察、缺陷搜寻、空白填补以及验证评估,并参考了 Anthropic 和 Cloudflare 在多代理协作方面的早期研究。实测显示,代理人在“把规范与代码对应起来”和“提出潜在根因假设”方面表现突出。
不过,系统也暴露出典型弱点:有时会把实际上不可达的调用链当成可利用路径,对部分缺陷的严重性给出明显夸大的判断。团队强调,人类安全审查仍然必须介入,验证漏洞是否真实可利用,并评估其在生产环境中的实际影响。
正如团队在文中所言:“这些代理让我们能覆盖远超人工审查的范围。代价是,我们得在一大堆‘听上去都很笃定’的结论中,更加谨慎地做判断。”
延伸阅读:Cardano 创始人 Charles Hoskinson 要离开项目?他称相关说法“纯属谎言”
安全策略调整与组织重塑
本次 AI 试验,正值以太坊基金会收缩自身职能,聚焦底层协议研发、密码学防护以及紧急安全修补之际。基金会在 6 月已公布计划,将更多具体职责下放给更广泛的以太坊生态参与者。
这家非营利机构近来将员工规模削减约 20%,年度预算也几乎腰斩,并关闭了包括 Protocol Support 在内的部分团队。与此同时,Ethlabs、Ethereum Institutional 等新组织开始出现,为生态提供额外的研究与基础设施能力。
这一轮架构重组,与被称为「精简以太坊(Lean Ethereum)」的路线图密切相关。Vitalik Buterin曾估计,该路线图的落地可能需要约四年时间。计划将触及多个网络组件,目标包括:提升性能、增强抗风险韧性,并强化对未来量子计算威胁的防御能力。
以太坊上一次类似级别的结构性变革,是「合并」(The Merge):网络从工作量证明(PoW)挖矿切换至权益证明(PoS)验证机制。本轮安全攻坚战,反映出新一轮架构升级带来的工程复杂度与安全压力。





