Инструмент ИИ обнаружил критическую уязвимость в программном обеспечении Nethermind ethereum

На прошлой неделе искусственный интеллект обвинили в написании криптопрограмм с багами. На этой неделе ему приписали обнаружение уязвимости до того, как её смогли бы эксплуатировать. Компания Octane Security, самоопределяющая себя как «безопасностная фирма, нативно основанная на ИИ», заявила в среду, что её инструмент ИИ обнаружил уязвимость высокой степени серьёзности в Nethermind — программном обеспечении, запускающем блокчейн ethereum. Nethermind устранил уязвимость до её эксплуатации, сообщила Octane. Почти 40% валидаторов ethereum используют Nethermind, и эксплуатация могла бы заставить их пропускать блоки, повлияв на работоспособность и доступность ethereum. «Это одно из самых значимых демонстраций исследования уязвимостей с использованием ИИ», — сказал Джованни Виньоне, основатель и генеральный директор Octane Security, в заявлении. «ИИ значительно ускорил исследование уязвимостей. Гипотезы об ошибках, проверка эксплуатации и подготовка отчётов промышленного уровня теперь возможны в 10 раз быстрее, что переписывает модель угроз для каждой организации, размещающей код в блокчейне». Анонс Octane последовал всего через пять дней после того, как компания-разработчик ИИ Anthropic rattled рынок кибербезопасности новым инструментом, который «сканирует кодовые базы на наличие уязвимостей и предлагает целенаправленные исправления программного обеспечения для проверки человеком». Moonwell ИИ охватил технологический мир, позволив опытным инженерам-программистам писать код быстрее, чем когда-либо прежде. В криптоиндустрии он подстегнул идею агентного ИИ, при котором программы проводят сделки независимо от людей. Но он также усилил опасения. На этой неделе отчёт Citrini Research rattled Уолл-стрит, представив будущее, где ИИ заменил человеческих работников и уничтожил мировую экономику. В понедельник индекс S&P упал более чем на 1% в результате. Даже разработчики ИИ обеспокоены потенциальными военными применениями своих созданий, как это показывает конфликт Anthropic с Белым домом shows. И ИИ вызвал опасения, что технологию можно использовать для взлома кибербезопасности. Некоторые опасаются, что он может вооружить хакеров. Другие обеспокоены тем, что инженеры могут чрезмерно полагаться на код, написанный ИИ, и выпускать программное обеспечение с багами. Эти опасения реализовались в начале этого месяца, когда баг в AI-generated коде cost пользователям криптопротокола Moonwell почти 2,7 миллиона долларов в криптовалюте. Один инженер Moonwell said, что соответствующий код прошёл аудит от криптобезопасностной компании Halborn. «Кодинг с использованием ИИ станет всё более распространённым, и растущее принятие vibe coding остаётся одной из причин, почему дополнительные инвестиции в проектирование, моделирование угроз, формальные методы, фаззинг и круглосуточный мониторинг — критически важные шаги для каждой команды web3», — сказал Сет Халлем, генеральный директор криптобезопасностной компании Certora, DL News после инцидента с Moonwell. Опыт Octane предполагает, что инвестиции всё чаще будут направляться в ИИ. Перед запуском апгрейда ethereum Fusaka в прошлом году Octane присоединилась к конкурсу аудита, организованному Gnosis и Lido. Конкурс награждал исследователей безопасности за обнаружение багов в Nethermind и других так называемых клиентах, запускающих ethereum. Octane сотрудничала с псевдонимным исследователем безопасности Guhu, который проверял потенциальные уязвимости, выявленные ИИ компании. Octane и Guhu представили 17 проблем, 16 из которых были исправлены командами клиентов. Девять были признаны серьёзными, и из них «шесть считаются уникальными», сообщила компания. В итоге они заняли четвёртое место в конкурсе и заработали 70 633 доллара вознаграждения. Они также представили уязвимость Nethermind в программу баг-баунти, запущенную Фондом ethereum. Согласно Octane, хакер мог подорвать валидаторы, использующие Nethermind, отправив «некорректную транзакцию». «Это могло бы вызвать продолжительное пропускание слотов всеми proposers на базе Nethermind на протяжении всего времени, пока некорректная транзакция оставалась в пуле», — сказала компания. «Эксплуатация лишила бы сеть этой способности, заставив затронутых валидаторов пропустить вознаграждения за блоки, понести штрафы за неактивность и снизить общую работоспособность и доступность сети». Уязвимость никогда не была эксплуатирована и была оперативно исправлена. Фонд ethereum присудил Octane баг-баунти в размере 50 000 долларов, сообщила компания. «Если вы не используете ИИ для непрерывного обнаружения и устранения недостатков, вы конкурируете с чёрными шляпами, которые используют его», — сказал Виньоне. Aleks Gilbert is DL News’ New York-based DeFi correspondent. You can reach him at aleks@dlnews.com.