AI 工具發現以太坊 Nethermind 軟體中的高嚴重性漏洞

上週，人工智慧被指責撰寫了有漏洞的加密貨幣軟體；這週，它卻因在漏洞被利用前發現問題而受到讚譽。 自稱「AI 原生安全公司」的 Octane Security 星期三表示，其 AI 工具在運行以太坊區塊鏈的 Nethermind 軟體中發現了一個高嚴重性漏洞。 Octane 表示，Nethermind 在漏洞被利用前已修復了該問題。近 40% 的以太坊驗證者使用 Nethermind，若遭利用，可能導致他們錯過區塊，影響以太坊的活躍性與可用性。 Octane Security 的創始人兼首席執行官 Giovanni Vignone 在聲明中表示：「這是最具關鍵性的 AI 驅動漏洞研究示範之一。」 「人工智慧極大地加速了漏洞研究。漏洞假設、利用驗證和生產級報告現在可以快 10 倍，這重新定義了每一個將程式碼上鏈的組織的威脅模型。」 Octane 的公告僅在 AI 公司 Anthropic rattled 網路安全股價五天後發布，當時該公司推出了一款新安全工具，可「掃描程式碼庫以尋找安全漏洞，並建議供人工審查的針對性軟體修補程式」。 Moonwell 人工智慧已席捲科技界，讓資深軟體工程師以前所未有的速度撰寫程式碼。在加密貨幣領域，它推動了「代理式 AI」的概念，即程式可獨立於人類進行交易。 但同時也引發了擔憂。 本週，Citrini Research 的一份報告 rattled 華爾街，預見了人工智慧取代人類工作者並摧毀全球經濟的未來。受此影響，標普 500 指數週一下跌超過 1%。 就連人工智慧開發者也對其創造物可能被用於軍事用途感到擔憂，Anthropic 與白宮的衝突 shows 即為一例。 此外，人工智慧也引發了對其可能被用於破解網路安全的恐懼。 一些人擔心它會賦予駭客更多能力；另一些人則擔憂工程師會過度依賴 AI 撰寫的程式碼，從而發布有漏洞的軟體。 本月早些時候，這一擔憂成為現實：一段 AI-generated 程式碼中的漏洞 cost 加密協議 Moonwell 使用者近 270 萬美元的加密資產。一名 Moonwell 軟體工程師 said，該段程式碼已通過加密安全公司 Halborn 的審計。 「AI 編碼將變得越來越普遍，而『感覺編碼』（vibe coding）的日益普及，正是為何每個 Web3 團隊都必須加強設計、威脅建模、形式化方法、模糊測試和 24/7 監控等關鍵步驟的原因之一，」加密安全公司 Certora 的首席執行官 Seth Hallem 在 Moonwell 事件後對 DL News 表示。 Octane 的經驗表明，投資可能越來越多地流向人工智慧。 在去年以太坊升級 Fusaka 發布前，Octane 參與了由 Gnosis 和 Lido 賽事贊助的審計競賽，該競賽獎勵安全研究人員在 Nethermind 及其他運行以太坊的所謂「客戶端」中尋找漏洞。 Octane 與化名安全研究員 Guhu 合作，由後者審查公司 AI 標記的潛在漏洞。 Octane 與 Guhu 提交了 17 個問題，其中 16 個被客戶端團隊修復；九個被評為嚴重級別，其中「六個被認為是獨特的」，公司表示。最終他們在競賽中排名第四，獲得 70,633 美元獎勵。 他們也將該 Nethermind 漏洞提交至以太坊基金會運營的漏洞懸賞計畫。 根據 Octane 的說法，駭客可透過提交「格式錯誤的交易」來破壞運行 Nethermind 的驗證者。 「只要格式錯誤的交易仍存在於交易池中，所有基於 Nethermind 的提案者都可能持續錯過插槽，」公司表示。 「利用此漏洞將使網路失去該部分能力，導致受影響的驗證者錯過區塊獎勵、遭受不活躍懲罰，並降低整體網路的活躍性與可用性。」 該漏洞從未被利用，並迅速獲得修復。公司表示，以太坊基金會向 Octane 頒發了 5 萬美元的漏洞懸賞。 「如果你不持續使用人工智慧來發現和修復缺陷，你就是在與正在使用它的駭客競爭，」Vignone 說。 Aleks Gilbert is DL News’ New York-based DeFi correspondent. You can reach him at aleks@dlnews.com.