L'agent IA de la Fondation Ethereum découvre un bug dans le code du protocole lors des tests

By: rootdata|2026/07/13 04:00:29

L'agent IA (intelligence artificielle) de la Fondation Ethereum a révélé qu'il avait effectivement découvert un bug dans le code du protocole lors des tests opérationnels.

Des efforts sont en cours pour renforcer la robustesse du réseau sur la blockchain Ethereum (Ethereum/ETH), qui détient le plus grand volume d'actifs verrouillés au monde. L'équipe de sécurité des protocoles de la Fondation Ethereum a récemment mené une expérience en intégrant un "agent IA" dans les tests de sécurité du logiciel de base. Cette initiative suscite l'intérêt en tant que nouvelle approche pour garantir la sécurité du système, tout en mettant en lumière un défi spécifique à l'IA : la charge de travail accrue pour les examinateurs humains.

Bugs graves découverts par l'IA collaborative

Lors de ce test, plusieurs agents IA ont été exécutés en parallèle, chacun ayant un rôle spécifique. Cette configuration s'inspire de la recherche de l'entreprise américaine d'IA Anthropic sur "la construction d'un compilateur C utilisant un groupe d'agents collaboratifs".

Concrètement, les IA ont été réparties en quatre rôles collaboratifs pour effectuer la vérification :

Agent de reconnaissance : transforme les cibles d'attaque en hypothèses vérifiables concrètes
Agent d'attaque : suit le chemin du code et tente de construire des étapes de reproduction
Agent de complément de lacunes : enregistre les progrès et génère le prochain ensemble d'hypothèses
Agent de vérification : effectue une vérification indépendante, élimine les doublons et évalue la validité.

Grâce à cette exploration exhaustive, l'agent IA a réussi à découvrir une vulnérabilité grave dans la couche "gossipsub" de la bibliothèque P2P (peer-to-peer) "libp2p", utilisée par les validateurs d'Ethereum pour la communication.

Ce bug pourrait provoquer un crash du système des nœuds à distance, entraînant des risques opérationnels si un validateur devenait hors ligne et perdait des récompenses. Ce défaut a été rapidement corrigé et publié sous le nom "CVE-2026-34219", évitant ainsi un danger technique.

Une prolifération de "faux positifs convaincants"

Bien que la découverte de bugs soit un succès, l'équipe de sécurité des protocoles fait face à un grand goulot d'étranglement. Il s'agit du traitement d'un grand nombre de "faux positifs" (bruit) générés par les agents IA.

Les outils de test traditionnels (comme Fuzzer) produisent des données lorsque le système plante, permettant aux humains de vérifier intuitivement les bugs. Cependant, les agents IA rédigent des scénarios d'attaque, évaluent la gravité et produisent même du code de démonstration sous forme de "rapports plausibles" parfaitement structurés. Cela oblige les ingénieurs humains à consacrer un temps et des efforts considérables pour distinguer les "faux bugs qui semblent authentiques".

Selon l'analyse de l'équipe, il existe principalement trois modèles prévisibles de faux positifs générés par l'IA :

Tests différents de l'environnement de production : les vérifications de sécurité du compilateur ne se produisent que dans des builds de débogage où elles sont actives, entraînant des plantages qui n'affectent pas les utilisateurs réels
Chemins d'attaque inaccessibles : le code de reproduction insère manuellement des valeurs internes que les entrées externes refusent, rendant les attaques impossibles
Preuves vides de vérification formelle : bien que cela prouve que le logiciel fonctionne correctement, cela ne contraint pas réellement le comportement ciblé.

L'état actuel de l'IA dans la sécurité Web3

Nikos Baxevanis de la Fondation Ethereum a rapporté : "Ce qui m'a surpris, ce n'est pas tant la découverte de bugs, mais le fait que tant d'efforts aient été consacrés à la tâche de tri entre le vrai et le faux."

De plus, bien que l'agent IA soit doué pour inférer le code à un moment donné, il a encore du mal à identifier des bugs complexes, tels que ceux qui se produisent fréquemment dans la DeFi (finance décentralisée), où "plusieurs étapes normales sont exécutées dans un ordre malveillant". La leçon tirée de ce test est que, bien que les outils de sécurité IA puissent devenir des assistants puissants pour accélérer la découverte de bugs dans l'infrastructure, un jugement humain avancé reste essentiel pour le tri final.

L'introduction de l'IA n'a pas remplacé le travail humain, mais a plutôt déplacé "l'utilisation du temps humain" de la phase de validation des hypothèses vers la construction d'infrastructures de vérification et le tri de l'information. Même à l'ère de l'évolution des outils, l'importance de la discipline humaine dans un tri rigoureux demeure inchangée.

Prix de --

--

Avertissement : Ce contenu est fourni à des fins de communication et d'information générale uniquement et ne constitue en aucun cas un conseil financier, d'investissement, juridique ou fiscal. Les événements, récompenses, événements en ligne ou toute information mentionnée dans ce document ne doivent pas être considérés comme une recommandation, une sollicitation ou une invitation à acheter, vendre, échanger ou traiter de quelque manière que ce soit des actifs crypto, ni à utiliser un quelconque service. Les actifs crypto sont très volatils et peuvent entraîner des pertes. Les services et événements en ligne de WEEX peuvent ne pas être disponibles dans toutes les régions et sont soumis aux lois, réglementations et conditions d'éligibilité applicables. Il vous appartient de veiller à ce que votre utilisation des services WEEX respecte la législation locale et d'évaluer soigneusement les risques avant de participer à toute activité liée aux cryptomonnaies.

Vous pourriez aussi aimer

iconiconiconiconiconicon
Assistance client:@weikecs
Collaborations commerciales:@weikecs
Trading quantitatif/Market makers:bd@weex.com
Programme VIP:support@weex.com