Ferramenta de IA descobre vulnerabilidade de alta gravidade no software Nethermind da ethereum

Na semana passada, a inteligência artificial foi culpada por escrever software cripto com bugs. Esta semana, foi creditada por encontrar um bug antes que pudesse ser explorado. A Octane Security, uma empresa de segurança auto-descrita como “nativa de IA”, disse na quarta-feira que sua ferramenta de IA encontrou um bug de alta gravidade no Nethermind, software que executa a blockchain do ethereum. O Nethermind corrigiu o bug antes que pudesse ser explorado, disse a Octane. Quase 40% dos validadores do ethereum usam o Nethermind, e uma exploração poderia ter feito com que eles perdessem blocos, afetando a disponibilidade e a operacionalidade do ethereum. “Esta é uma das demonstrações de pesquisa de vulnerabilidades lideradas por IA com maior envergadura até agora”, disse Giovanni Vignone, fundador e CEO da Octane Security, em um comunicado. “A IA acelerou drasticamente a pesquisa de vulnerabilidades. Hipóteses de bugs, verificação de exploração e relatórios de qualidade de produção agora podem ocorrer 10× mais rápido, o que reescreve o modelo de ameaça para toda organização que coloca código na blockchain.” O anúncio da Octane ocorreu apenas cinco dias após a empresa de IA Anthropic rattled as ações de cibersegurança com uma nova ferramenta de segurança que “escaneia repositórios de código em busca de vulnerabilidades de segurança e sugere correções direcionadas para revisão humana.” Moonwell A IA tomou o mundo da tecnologia por tempestade, permitindo que engenheiros de software experientes escrevessem código mais rápido do que nunca. No cripto, ela alimentou a ideia de IA agente, na qual programas realizam negociações independentemente de seres humanos. Mas também alimentou preocupações. Esta semana, um relatório da Citrini Research rattled Wall Street ao imaginar um futuro no qual a IA substituiu trabalhadores humanos e destruiu a economia mundial. O S&P caiu mais de 1% na segunda-feira como resultado. Mesmo desenvolvedores de IA estão preocupados com as possíveis aplicações militares de suas criações, como mostra o conflito da Anthropic com a Casa Branca shows. E a IA desencadeou medos de que a tecnologia possa ser usada para quebrar a cibersegurança. Alguns temem que ela possa capacitar hackers. Outros temem que engenheiros possam se tornar excessivamente dependentes de código gerado por IA e liberar software com bugs. Essa preocupação se tornou realidade no início deste mês, quando um bug em código gerado por IA custou aos usuários do protocolo cripto Moonwell quase US$ 2,7 milhões em cripto. Um engenheiro de software da Moonwell said que o código em questão havia passado por uma auditoria da empresa de segurança cripto Halborn. “A codificação por IA se tornará cada vez mais prevalente, e a adoção crescente do ‘vibe coding’ permanece uma das razões pelas quais investimentos adicionais em design, modelagem de ameaças, métodos formais, fuzzing e monitoramento 24/7 são etapas críticas para toda equipe web3 tomar”, disse Seth Hallem, CEO da empresa de segurança cripto Certora, ao DL News após o incidente da Moonwell. A experiência da Octane sugere que os investimentos podem cada vez mais fluir em direção à IA. No período anterior ao lançamento da atualização do ethereum Fusaka no ano passado, a Octane participou de um concurso de auditoria patrocinado pela Gnosis e Lido. O concurso recompensava pesquisadores de segurança por encontrar bugs no Nethermind e nos demais chamados clientes que executam o ethereum. A Octane se associou ao pesquisador de segurança pseudônimo Guhu, que revisou possíveis bugs sinalizados pela IA da empresa. A Octane e Guhu submeteram 17 problemas, 16 dos quais foram corrigidos pelas equipes dos clientes. Nove foram considerados graves e, desses, “seis são considerados únicos”, disse a empresa. Eles terminaram em quarto lugar no concurso, ganhando US$ 70.633 em recompensas. Eles também submeteram o bug do Nethermind a um programa de recompensa por bugs administrado pela Ethereum Foundation. Segundo a Octane, um hacker poderia sabotar validadores que executam o Nethermind enviando uma “transação malformada”. “Isso poderia ter causado falhas contínuas em todos os proponentes baseados no Nethermind enquanto a transação malformada permanecesse na pool”, disse a empresa. “A exploração teria removido essa capacidade da rede, fazendo com que os validadores afetados perdessem recompensas de bloco, incorressem em penalidades por inatividade e reduzissem a disponibilidade e operacionalidade geral da rede.” O bug nunca foi explorado e foi corrigido prontamente. A Ethereum Foundation concedeu à Octane uma recompensa de US$ 50.000 por bug, disse a empresa. “Se você não está usando IA para encontrar e corrigir falhas continuamente, está competindo contra os blackhats que estão”, disse Vignone. Aleks Gilbert is DL News’ New York-based DeFi correspondent. You can reach him at aleks@dlnews.com.