作者:Max,加密城市
以太坊基金會公開 AI 安全研究成果,成功找出真實漏洞
以太坊基金會(Ethereum Foundation)近日公開 Protocol Security 團隊最新安全研究成果,說明 AI 智慧代理(AI Agents)如何協助核心開發團隊進行漏洞搜尋與安全分析。
基金會表示,AI 已成功發現多項真實安全漏洞,其中包括近期已完成修補、並取得 CVE-2026-34219 編號的 libp2p Gossipsub 漏洞,證明大型語言模型已具備協助區塊鏈安全研究的實際能力。
目前 AI 已投入以太坊(Ethereum)協議層、 P2P 網路、密碼學函式庫、系統軟體及智能合約等多個核心元件的安全審查工作。相較於傳統完全依靠人工閱讀程式碼,AI 能快速分析大量程式內容,建立攻擊情境、追蹤函式呼叫流程、提出漏洞假設,甚至產生概念驗證(Proof of Concept,PoC),讓研究人員能更快鎖定需要深入分析的區域。
基金會表示,AI 並未改變漏洞研究的方法,而是大幅提升搜尋速度與覆蓋範圍,使安全團隊能同時分析更多程式碼、測試更多攻擊路徑,降低人工作業所需的時間成本。
偽陽性比例仍高,研究人員花最多時間驗證結果
雖然 AI 已能找出真實漏洞,但以太坊基金會也坦言,目前最大的挑戰仍是大量「偽陽性(False Positives)」。
根據 Protocol Security 團隊實際測試結果,AI 每提出約 10 個疑似漏洞,其中約有 9 個最後被證實並不存在,真正需要修補的漏洞僅占少數。這意味著 AI 雖然能提供大量線索,但研究人員仍必須逐一重現、測試及驗證,才能確認哪些問題真正具有安全風險。
基金會指出,AI 產出的漏洞報告通常相當完整,不僅包含攻擊流程,也會提供程式碼分析、漏洞成因、可能影響及利用方式,因此看起來十分具有說服力。然而,部分推論建立在錯誤假設之上,導致整份分析結果雖然邏輯完整,最終仍無法成功重現漏洞。
研究團隊表示,目前投入最多時間的工作,已由過去主動閱讀程式碼尋找漏洞,逐漸轉變為驗證 AI 提出的各種可能性,確認哪些是真正值得修補的安全問題。
多個 AI Agent 分工合作,建立完整漏洞分析流程
為提升分析效率,Protocol Security 並未採用單一 AI 模型,而是建立多個 AI Agent 協同工作的架構,每個代理負責不同任務。
部分 AI Agent 專門搜尋潛在攻擊面,有些負責分析程式邏輯、提出漏洞假設,也有 AI 專門重新檢查其它代理提出的結果,排除重複內容、補充測試案例,甚至設計新的攻擊方式。整個流程與資安團隊分工合作相似,希望透過不同 AI 相互驗證,提高漏洞搜尋效率及覆蓋範圍。
基金會表示,這套架構部分參考近年 AI 安全研究成果,希望 AI 能從回答問題的工具,逐步發展成協助執行完整安全研究流程的輔助系統。
不過,每一項候選漏洞仍須由研究人員重新重現、驗證及分析影響範圍,確認符合漏洞定義後,才會正式提交修補程式。
AI 成為安全研究新工具,人類判斷仍是核心
以太坊基金會認為,AI 正逐步改變區塊鏈安全研究的工作模式。過去研究人員需要耗費大量時間閱讀程式碼、建立測試情境,如今 AI 已能快速完成第一輪分析,協助團隊縮小搜尋範圍,讓研究人員把更多精力投入漏洞驗證、修補方案設計及風險評估。
基金會也強調,評估 AI 系統價值的標準,並非產生多少漏洞報告,而是最終能成功確認多少真實漏洞。由於目前偽陽性比例仍接近九成,AI 提供的結果仍須透過人工驗證才能採信,因此資安專家的技術判斷依然是整個安全流程中最重要的一環。
隨著大型語言模型持續進步,AI 未來可望承擔更多程式審計及安全分析工作,也有機會降低新漏洞流入正式版本的風險。不過,以目前的技術發展來看,AI 更適合作為研究人員的協作工具,而非獨立完成漏洞審查。
對以太坊基金會而言,未來安全研究的重點將放在持續提升 AI 搜尋效率、降低偽陽性比例,以及建立更有效率的人機協作流程,讓區塊鏈核心基礎設施的安全性持續提升。
(以上內容獲合作夥伴《加密城市》授權節錄及轉載,原文連結 )
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。









