以太坊基金会用AI代理寻找协议漏洞
区块链安全正在进入一个新的攻防阶段。过去,协议漏洞主要依靠安全研究员逐行审查代码、构造攻击场景,而现在,人工智能代理开始成为开发团队手中的新型安全工具。
近日,以太坊基金会 Protocol Security 团队表示,已经部署多组AI代理,对以太坊生态依赖的软件进行自动化测试,目标是发现加密系统、协议代码以及智能合约中的潜在漏洞。
这套系统并不是简单让AI“扫描代码”。据介绍,基金会将AI代理分成不同角色,包括侦察、漏洞搜寻、补缺和验证等,让它们分别负责发现攻击路径、复现异常情况、提出修复方案,并进一步确认问题是否会影响实际生产环境。
其中,一个已经被发现并修复的问题来自以太坊共识客户端使用的点对点通信组件 libp2p gossipsub。该漏洞可能被远程触发panic(程序异常崩溃),相关问题随后被修复,并以 CVE-2026-34219 编号公开。
对于区块链网络而言,这类漏洞的风险并不局限于单个应用。以太坊作为全球最大的智能合约平台之一,其底层客户端、通信协议和开发工具都连接着大量节点。一旦基础组件出现问题,影响范围可能远超过普通软件系统。
这也是以太坊基金会开始探索AI安全工具的重要原因。
区块链项目的代码审查一直是一项高成本工作。大型协议往往包含数百万行代码,安全团队需要面对不断变化的攻击方式。传统人工审计虽然经验丰富,但受限于时间和人员规模,很难覆盖所有可能路径。
AI代理提供了一种新的补充方式。
它可以持续运行测试任务,快速分析大量代码变化,并尝试模拟攻击者可能采取的操作。在软件安全领域,类似方法已经被应用于漏洞挖掘和自动化测试,而区块链行业由于资金规模巨大,对这种能力的需求更加明显。
不过,以太坊基金会也强调,AI并没有取代安全研究员。
原因很现实。AI可以发现异常,但并不总能判断异常是否真正构成风险。一些模型生成的漏洞报告看似合理,实际上可能无法复现,甚至误导开发团队。如果没有经验丰富的研究人员进行筛选和验证,大量“可能存在的问题”反而会增加安全团队负担。
这也是当前AI安全工具面临的共同问题:发现能力提升之后,判断能力成为新的瓶颈。
随着智能合约、链上金融应用和基础设施不断扩张,区块链安全已经从单纯防止代码错误,发展为持续对抗复杂攻击环境。未来,AI代理可能会成为协议开发流程中的常规参与者,与人工研究员共同完成代码审查、漏洞分析和风险评估。
对于以太坊这样的开放式生态来说,安全竞争不会结束在代码上线那一刻,而是在每一次升级、每一次开发提交之后持续进行。AI加入之后,改变的或许不是安全团队的角色,而是他们能够覆盖的范围。
