image

イーサリアム財団がETHネットワーク上でAIを解放し、ハッカーよりも早くバグを発見

簡単に言うと

  • イーサリアム財団の研究者は、AI エージェントを使用して重要なネットワーク インフラストラクチャをレッドチーム化しています。
  • エージェントは、後に明らかになったピアツーピア ソフトウェアの脆弱性の発見に協力しました。
  • AI支援監査により、Zcashを含むブロックチェーンプロジェクトのバグがすでに表面化しています。

イーサリアム財団は、他の誰かが攻撃する前に、AI エージェントの群れを使用してイーサリアムを攻撃しています。

イーサリアム財団プロトコルセキュリティチームの研究者らは木曜日のブログ投稿で、イーサリアムが依存するソフトウェアに対して一連のAIエージェントを導入し、暗号システム、プロトコルコード、スマートコントラクトの脆弱性を探し出したと述べた。

「私たちは、システム ソフトウェア、暗号コード、正しくなければならない契約など、ネットワークが依存する種類のシステムに対して、調整された AI エージェントを実行してきました」と研究者らは書いています。 「エージェントは本物のバグを発見しました。」

発見されたバグの 1 つは、Ethereum コンセンサス クライアントによって使用されるピアツーピア層の一部である libp2p の gossipsub でリモートから引き起こされるパニックを含んでいます。この問題は修正され、Github で CVE-2026-34219 として公開されました。

レッドチームとして知られるこの慣行には、企業が自社のシステムを攻撃するためにセキュリティ研究者を派遣し、悪意のあるハッカーが発見する前にネットワークに侵入または破壊して弱点を明らかにしようとすることが含まれます。赤いチームがシステムを攻撃している間、それを守るのは青いチームにかかっています。

従来、人間の研究者は手動でコードをレビューして脆弱性を検索していましたが、AI エージェントはコードベース全体をスキャンし、潜在的なエクスプロイトをテストし、レビュー用の結果を生成できます。

「エージェントがバグを発見したことは驚くべきことではなかった」とチームは書いている。 「驚いたのは、それらを見つけるのにどれほどの労力が費やされているか、そしてただ本物に見える虫と本物の虫を区別することにどれほどの労力が費やされているかということでした。」

イーサリアム財団によると、エージェントは偵察、捜索、ギャップ埋め、検証などの専門的な役割に編成されているという。考えられる攻撃パスを探索するものもあれば、障害を再現して製品コードに対して機能するかどうかを検証するものもあります。

「このスキーマには理由がある」と彼らは書いている。 「具体的で検証可能な主張と、完了の明確な定義が強制されます。観察可能な証拠を書き留めなければならないエージェントは、「これは危険そうだ」という判断に頼ることはできません。

脆弱性研究における AI の役割の増大は、4 月に Anthropic の Claude Mythos のプレビュー バージョンが Mozilla の Firefox ブラウザに 271 件の脆弱性を発見したことで実証されました。

研究者らは、AI エージェントをファザー、つまりソフトウェアの欠陥をテストするツールと比較しました。ただし、ファザーとは異なり、AI エージェントは脆弱性レポートを生成し、影響を評価し、概念実証テストを作成できます。

しかし、詳細であることが必ずしも正しいことを意味するわけではありません。 AI によって生成された結果は、たとえ間違っている場合でも説得力があるように見えるため、研究者は重複、誤検知、実際には悪用できない脆弱性を除外する必要があります。

「1つのルールが他のどのルールよりも重要です。実際のコードに対して障害を再現し、それを書いた人ではない人でも実行できる自己完結型の成果物が存在するまで、候補は発見とは言えません」と研究者らは書いている。 「再現者は書き込みを読みませんし、モデルがどれだけ自信を持って鳴ったかは気にしません。それは実行されるか、実行されないかのどちらかです。」

AI ツールは、セキュリティ研究者がブロックチェーン ネットワークの欠陥を発見するのにすでに役立っています。

5 月、セキュリティ研究者の Taylor Hornby 氏は、Zcash の Orchard プライバシー プールに重大な脆弱性を発見した AI 支援監査中に Anthropic の Claude Opus 4.8 を使用しました。この欠陥は約 4 年間存在しており、攻撃者がチェーン上に明らかな痕跡を残さずに偽造 ZEC を作成できる可能性がありました。 Zcash の供給に対する信頼を回復するためのネットワークのアップグレードはまだ作業中です。

イーサリアム財団の実験では、このテクノロジーを社内に導入し、AI エージェントを使用して独自のコードをテストし、脆弱性を見つけます。

イーサリアム財団は「AIはセキュリティ研究者に取って代わるものではない。AIは研究を動かしてきた」と述べた。 「代理人は、私たちが手作業で行うよりもはるかに多くの分野をカバーさせてくれます。その代わりに、彼らははるかに多くの自信に満ちた主張の山に対して、より慎重な判断を求めます。」

「それは価値のある取引だ」と彼らは付け加えた、「判決が本物であることを覚えている限りは」。