Em resumo
- Os pesquisadores da Fundação Ethereum estão usando agentes de IA para formar equipes de infraestrutura de rede crítica.
- Os agentes ajudaram a descobrir uma vulnerabilidade de software peer-to-peer que foi posteriormente divulgada.
- Auditorias assistidas por IA já revelaram bugs em projetos de blockchain, incluindo Zcash.
A Fundação Ethereum está usando enxames de agentes de IA para atacar o Ethereum – antes que alguém o faça.
Em uma postagem de blog na quinta-feira, pesquisadores da Fundação Ethereum da equipe de Segurança de Protocolo disseram que implantaram uma série de agentes de IA contra o software do qual Ethereum depende, caçando vulnerabilidades em sistemas criptográficos, código de protocolo e contratos inteligentes.
“Temos executado agentes coordenados de IA contra os tipos de sistemas dos quais a rede depende, como software de sistemas, código criptográfico e contratos que precisam estar corretos”, escreveram os pesquisadores. “Os agentes encontraram bugs reais.”
Um dos bugs descobertos incluía um pânico acionado remotamente no gossipsub da libp2p, parte da camada peer-to-peer usada pelos clientes de consenso Ethereum. O problema foi corrigido e divulgado no Github como CVE-2026-34219.
Conhecida como red teaming, a prática envolve empresas que empregam pesquisadores de segurança para atacar seus próprios sistemas, tentando se infiltrar ou interromper redes para descobrir pontos fracos antes que hackers mal-intencionados os encontrem. Enquanto os times vermelhos atacam um sistema, cabe aos times azuis defendê-lo.
Os pesquisadores humanos tradicionalmente procuram vulnerabilidades revisando o código manualmente – mas os agentes de IA podem verificar bases de código inteiras, testar possíveis explorações e gerar descobertas para revisão.
“Os agentes que encontraram bugs não foram a surpresa”, escreveu a equipe. “A surpresa foi quão pouco foi necessário trabalhar para encontrá-los e quanto foi necessário para diferenciar os bugs reais daqueles que pareciam reais.”
De acordo com a Fundação Ethereum, os agentes são organizados em funções especializadas, incluindo reconhecimento, caça, preenchimento de lacunas e validação. Alguns procuram possíveis caminhos de ataque, enquanto outros tentam reproduzir falhas e verificar se funcionam no código de produção.
“O esquema existe por uma razão”, escreveram eles. “Isso força uma afirmação específica e testável e uma definição clara de feito. Um agente que tem que escrever uma prova observável não pode recorrer a “isso parece arriscado”.
O papel crescente da IA na pesquisa de vulnerabilidades foi demonstrado em abril, quando uma versão prévia de Claude Mythos da Anthropic descobriu 271 vulnerabilidades no navegador Firefox da Mozilla.
Os pesquisadores compararam agentes de IA a fuzzers, ou ferramentas que testam falhas de software. No entanto, ao contrário dos fuzzers, os agentes de IA podem gerar relatórios de vulnerabilidade, avaliar o impacto e criar testes de prova de conceito.
Mas detalhado nem sempre significa correto. As descobertas geradas pela IA podem parecer convincentes mesmo quando estão erradas, deixando os pesquisadores filtrando duplicatas, falsos positivos e vulnerabilidades que não podem realmente ser exploradas.
“Uma regra é mais importante do que qualquer outra. Um candidato não é uma descoberta até que haja um artefato independente que reproduza a falha no código real e que seja executado para alguém que não o escreveu”, escreveram os pesquisadores. “O reprodutor não lê o artigo e não se importa com o quão confiante o modelo parecia. Ele funciona ou não.”
As ferramentas de IA já ajudaram os pesquisadores de segurança a descobrir falhas nas redes blockchain.
Em maio, o pesquisador de segurança Taylor Hornby usou Claude Opus 4.8 da Anthropic durante uma auditoria assistida por IA que encontrou uma vulnerabilidade crítica no pool de privacidade Orchard da Zcash. A falha existia há cerca de quatro anos e poderia ter permitido que um invasor criasse ZEC falsificado sem um rastro óbvio na rede. Uma atualização de rede para restaurar a confiança no fornecimento de Zcash ainda está em andamento.
O experimento da Fundação Ethereum traz a tecnologia internamente, usando agentes de IA para testar seu próprio código e encontrar vulnerabilidades.
“A IA não substituiu o pesquisador de segurança. Ela moveu o trabalho”, disse a Fundação Ethereum. “Os agentes permitem-nos cobrir muito mais terreno do que conseguiríamos manualmente. Em troca, pedem um julgamento mais cuidadoso, através de uma pilha muito maior de afirmações que parecem confiantes.”
“Essa é uma troca que vale a pena fazer”, acrescentaram, “desde que você se lembre de que o julgamento é o produto real”.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt




