AI News HubLIVE
サイト内リライト2 分で読了

イーサリアム、AIエージェントを活用してバグを発見、libp2pの脆弱性を露呈

イーサリアム財団のプロトコルセキュリティチームは、複数のAIエージェントを連携させてlibp2pのgossipsubにおけるリモートトリガー可能なパニック脆弱性(CVE-2026-34219)を発見しました。真の課題はバグを見つけることではなく、AIが生成した候補から真の脆弱性と偽のノイズを区別するトリアージであり、セキュリティ監査における人間の判断の重要性が浮き彫りになりました。

ソースHacker News AI著者: ar_writer

イーサリアム財団のプロトコルセキュリティチームは、複数のAIエージェントを連携させて重要なネットワークインフラストラクチャを体系的にテストし、libp2pのgossipsubサブプロトコルにリモートからトリガー可能なパニック脆弱性を発見したことを明らかにしました。libp2pはイーサリアムのコンセンサスクライアントで使用されるコアなピアツーピアコンポーネントです。この脆弱性はCVE-2026-34219として割り当てられ、修正済みです。

チームは、複数のAIエージェントを単一のターゲットに対して並行して実行し、バージョン管理を通じて中央コントローラーなしに調整する方法を説明しました。エージェントには異なる役割が与えられています:偵察(攻撃面をテスト可能な仮説に変換)、ハンティング(コードパスを追跡し再現器を構築)、ギャップフィリング(次の仮説を記述しカバレッジを追跡)、検証(候補を独立して再チェック)。候補が発見とみなされるのは、実際のコードに対して障害を再現する自己完結型のアーティファクトが含まれている場合のみです。

しかし、チームはほとんどの候補が誤り、重複、または範囲外であることを発見しました。一般的な誤検出には、デバッグビルドでのみ発生するパニック、実際の入力では生成できない方法で内部値を手動で構築する再現器、実際に関心のある動作を制約しない形式的証明文が含まれます。チームは「AIエージェントは、役に立たないバージョンを本物と同じ速さで、同じ自信を持って書く」と指摘し、検証を自動化する必要があると述べています。

この取り組みはセキュリティにおける大きな変化を示しています。AIを研究に使用する場合、真の課題はバグを見つけることではなく、どの結果を信頼すべきかを認識することです。例えば、Anthropicのフロンティアレッドチームは、エージェントに1000件のレポートを作成させましたが、専門家がそれらをふるいにかけて86%が正当であることを確認する必要がありました。データの生成は簡単で、検証が難しいのです。

より広いWeb3エコシステムにとって、この教訓はツールの枠を超えています。AIエージェントの能力が向上するにつれて、構造的な対応が必要です:正式なID標準(エージェント登録のためのEIP-8004)、支払い標準(自律型マイクロペイメントのためのx402)、および多層防御セキュリティフレームワーク。イーサリアム財団は重要プロトコル脆弱性のバグ報奨金を100万ドルに引き上げましたが、検証のボトルネックは依然として存在します。「結局のところ、人間の判断が発見の真偽を保証する秘訣です」とチームは締めくくっています。