摘要:以太坊基金会披露,尽管AI代理成功识别出真实漏洞(CVE-2026-34219),但验证过程耗时远超生成报告阶段。团队强调人工复现仍是安全判定核心。

币圈界报道:
AI辅助发现漏洞后,验证成最大瓶颈
以太坊基金会指出,当前最严峻的挑战并非发现缺陷,而是对AI生成报告的可信度进行有效甄别。即便代理在libp2p的gossipsub组件中定位到可远程触发panic的漏洞,其后续验证工作仍需投入大量人力与时间。
多智能体协同流程提升报告质量
为应对误报泛滥,基金会引入分阶段多代理协作机制。各代理独立执行侦察、狩猎、补缺与验证任务,通过版本控制共享状态信息,避免重复劳动。该流程要求每份被采纳的报告必须包含可达目标、明确的安全不变性、失败机制说明、可观测证据、自包含重现器及去重标识。
真实代码复现是唯一准入标准
所有候选漏洞必须经由非代理人员在生产环境代码库中成功复现,方可认定为有效。此原则排除了基于不可达路径、调试模式崩溃或形式化验证结果却无实际威胁的报告。此外,报告还需评估漏洞的实际可利用性,区分是否可被任意网络节点触发。
基金会强调,当涉及复杂交互序列或依赖特定状态转移时,AI代理表现不稳定,其作为有状态测试工具的价值远高于替代人类专家的角色。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500 U
