La semaine dernière, l’intelligence artificielle a été accusée d’avoir rédigé un logiciel crypto contenant des bogues. Cette semaine, elle a été saluée pour avoir détecté un bogue avant qu’il ne puisse être exploité. Octane Security, une entreprise de sécurité se décrivant comme « native à l’IA », a déclaré mercredi que son outil d’IA avait découvert un bogue de haute gravité dans Nethermind, un logiciel qui exécute la blockchain Ethereum. Nethermind a corrigé le bogue avant qu’il ne puisse être exploité, selon Octane. Près de 40 % des validateurs Ethereum utilisent Nethermind, et une exploitation aurait pu les amener à manquer des blocs, affectant la disponibilité et la vivacité d’Ethereum. « C’est l’une des démonstrations les plus importantes à ce jour de la recherche de vulnérabilités pilotée par l’IA », a déclaré Giovanni Vignone, fondateur et PDG d’Octane Security, dans un communiqué. « L’IA a considérablement accéléré la recherche de vulnérabilités. Les hypothèses de bogues, la vérification d’exploits et la production de rapports de qualité industrielle peuvent désormais se produire 10 fois plus vite, ce qui réécrit le modèle de menace pour toute organisation déployant du code sur chaîne. » L’annonce d’Octane intervient juste cinq jours après que l’entreprise d’IA Anthropic rattled les actions de cybersécurité avec un nouvel outil de sécurité qui « analyse les bases de code à la recherche de vulnérabilités et suggère des correctifs ciblés pour examen humain ». Moonwell L’IA a bouleversé le monde technologique, permettant aux ingénieurs logiciels expérimentés d’écrire du code plus rapidement que jamais. Dans le domaine crypto, elle a alimenté l’idée d’une IA agente, où des programmes effectuent des trades indépendamment des êtres humains. Mais elle a aussi alimenté les inquiétudes. Cette semaine, un rapport de Citrini Research rattled Wall Street en imaginant un avenir où l’IA aurait remplacé les travailleurs humains et détruit l’économie mondiale. Le S&P a chuté de plus de 1 % lundi en conséquence. Même les développeurs d’IA s’inquiètent des applications militaires potentielles de leurs créations, comme le montre le conflit d’Anthropic avec la Maison Blanche shows. Et l’IA a suscité la crainte que la technologie puisse être utilisée pour contourner la cybersécurité. Certains redoutent qu’elle puisse renforcer les pirates. D’autres craignent que les ingénieurs ne deviennent trop dépendants du code généré par l’IA et ne publient du logiciel défectueux. Cette inquiétude s’est concrétisée plus tôt ce mois-ci, lorsqu’un bogue dans un code AI-generated cost aux utilisateurs du protocole crypto Moonwell près de 2,7 millions de dollars en crypto. Un ingénieur logiciel de Moonwell said que le code en question avait passé une audit réalisée par la société de sécurité crypto Halborn. « La programmation par IA deviendra de plus en plus courante, et l’adoption croissante du “vibe coding” reste une raison pour laquelle un investissement accru dans la conception, la modélisation des menaces, les méthodes formelles, le fuzzing et la surveillance 24/7 sont des étapes cruciales pour toute équipe web3 », a déclaré Seth Hallem, PDG de la société de sécurité crypto Certora, à DL News après l’incident Moonwell. L’expérience d’Octane suggère que les investissements pourraient de plus en plus s’orienter vers l’IA. Avant le lancement de la mise à jour Ethereum Fusaka l’an dernier, Octane a participé à un concours d’audit sponsorisé par Gnosis et Lido. Ce concours récompensait les chercheurs en sécurité pour la découverte de bogues dans Nethermind et les autres logiciels dits « clients » exécutant Ethereum. Octane a collaboré avec le chercheur en sécurité pseudonyme Guhu, qui a examiné les bogues potentiels signalés par l’IA de l’entreprise. Octane et Guhu ont soumis 17 problèmes, dont 16 ont été corrigés par les équipes des clients. Neuf ont été considérés comme graves, et, parmi ceux-ci, « six sont jugés uniques », selon l’entreprise. Ils ont finalement obtenu la quatrième place au concours, remportant 70 633 $ en récompenses. Ils ont également soumis le bogue de Nethermind à un programme de bug bounty géré par la Fondation Ethereum. Selon Octane, un pirate pourrait saboter les validateurs exécutant Nethermind en soumettant une « transaction malformée ». « Cela aurait pu entraîner des créneaux manqués persistants chez tous les proposeurs basés sur Nethermind aussi longtemps que la transaction malformée serait restée dans la file d’attente », a déclaré l’entreprise. « L’exploitation aurait retiré cette capacité du réseau, faisant perdre aux validateurs affectés leurs récompenses de bloc, leur infligeant des pénalités pour inactivité et dégradant la vivacité et la disponibilité globales du réseau. » Le bogue n’a jamais été exploité et a été corrigé rapidement. La Fondation Ethereum a attribué à Octane une récompense de bug bounty de 50 000 $, selon l’entreprise. « Si vous n’utilisez pas l’IA pour trouver et corriger continuellement les défauts, vous êtes en concurrence avec les blackhats qui le font », a déclaré Vignone. Aleks Gilbert is DL News’ New York-based DeFi correspondent. You can reach him at aleks@dlnews.com.
Un outil d'IA découvre une faille de gravité élevée dans le logiciel Nethermind d'Ethereum
DL NewsPartager
Résumé
Un outil d'IA d'Octane Security a découvert une faille de gravité élevée dans Nethermind, un client EVM utilisé sur le réseau Ethereum. La vulnérabilité, liée à la sécurité de la blockchain, a été corrigée avant tout incident. Environ 40 % des validateurs Ethereum reposent sur Nethermind, et une violation aurait pu entraîner des blocs manqués. La Fondation Ethereum a versé une récompense de 50 000 $ pour cette découverte. Nethermind est l'un des plusieurs clients EVM soutenant le fonctionnement et la sécurité d'Ethereum.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.