Ethereum Foundation och AI-agenter
Ethereum Foundation använder svärmar av AI-agenter för att attackera Ethereum-nätverket innan någon annan gör det. I ett blogginlägg på torsdag meddelade forskare från Ethereum Foundations Protocol Security-team att de har distribuerat en serie AI-agenter mot den programvara som Ethereum är beroende av, för att leta efter sårbarheter i kryptografiska system, protokollkod och smarta kontrakt.
”Vi har kört koordinerade AI-agenter mot de typer av system som nätverket är beroende av, såsom systemprogramvara, kryptografisk kod och kontrakt som måste vara korrekta,” skrev forskarna. ”Agenterna hittade verkliga buggar.”
Upptäckta sårbarheter
En av de buggar som upptäcktes inkluderade en fjärrutlösts panik i libp2p:s gossipsub, en del av peer-to-peer-lagret som används av Ethereum-konsensusklienter. Problemet åtgärdades och offentliggjordes på Github som CVE-2026-34219.
Känd som red teaming, innebär denna praxis att företag sätter in säkerhetsforskare för att attackera sina egna system, med syftet att infiltrera eller störa nätverk för att avslöja svagheter innan illvilliga hackare hittar dem. Medan red teams attackerar ett system, är det upp till blue teams att försvara det.
AI:s roll i sårbarhetsforskning
Mänskliga forskare har traditionellt letat efter sårbarheter genom att granska kod manuellt, men AI-agenter kan skanna hela kodbaser, testa potentiella utnyttjanden och generera fynd för granskning.
”Agenter som hittar buggar var inte överraskningen,” skrev teamet. ”Överraskningen var hur lite av arbetet som gick åt till att hitta dem, och hur mycket som gick åt till att särskilja de verkliga buggarna från de som bara såg verkliga ut.”
Enligt Ethereum Foundation är agenterna organiserade i specialiserade roller, inklusive rekognosering, jakt, fyllning av luckor och validering. Vissa söker efter möjliga attackvägar, medan andra försöker återskapa fel och verifiera om de fungerar mot produktionskod.
”Schemat finns där av en anledning,” skrev de. ”Det tvingar fram ett specifikt, testbart påstående och en tydlig definition av klart. En agent som måste skriva ner ett observerbart bevis kan inte falla tillbaka på ’detta ser riskabelt ut.'”
Framsteg och utmaningar
Den växande rollen av AI i sårbarhetsforskning demonstrerades i april, när en förhandsversion av Anthropic’s Claude Mythos upptäckte 271 sårbarheter i Mozillas Firefox-webbläsare. Forskarna jämförde AI-agenter med fuzzers, eller verktyg som testar programvara för brister. Men till skillnad från fuzzers kan AI-agenter generera sårbarhetsrapporter, bedöma påverkan och skapa proof-of-concept-tester.
Men detaljerad betyder inte alltid korrekt. AI-genererade fynd kan verka övertygande även när de är felaktiga, vilket lämnar forskarna att filtrera bort dubbletter, falska positiva och sårbarheter som faktiskt inte kan utnyttjas.
”En regel är viktigare än någon annan. En kandidat är inte ett fynd förrän det finns en självständig artefakt som återskapar felet mot den verkliga koden, och som körs av någon som inte skrev den,” skrev forskarna. ”Återskaparen läser inte skrivelsen, och den bryr sig inte om hur säker modellen lät. Den antingen körs eller så gör den det inte.”
AI:s framtid inom säkerhet
AI-verktyg har redan hjälpt säkerhetsforskare att avslöja brister i blockchain-nätverk. I maj använde säkerhetsforskaren Taylor Hornby Anthropic’s Claude Opus 4.8 under en AI-assisterad granskning som upptäckte en kritisk sårbarhet i Zcash’s Orchard integritetspool. Felet hade funnits i ungefär fyra år och skulle ha kunnat tillåta en angripare att skapa förfalskad ZEC utan en uppenbar on-chain-spår. En nätverksuppgradering för att återställa förtroendet för Zcash’s utbud är fortfarande under arbete.
Ethereum Foundations experiment tar teknologin in-house, med AI-agenter som testar sin egen kod för att hitta sårbarheter.
”AI ersatte inte säkerhetsforskaren. Det flyttade arbetet,” sa Ethereum Foundation. ”Agenter låter oss täcka mycket mer mark än vi kunde för hand. I utbyte ber de om mer noggrant omdöme, över en mycket större hög av övertygande påståenden.”
”Det är en handel värt att göra,” tillade de, ”så länge du kommer ihåg att omdömet är den verkliga produkten.”