مؤسسة إيثريوم تكشف عن ثغرة حقيقية وإيجابيات زائفة في اختبار أمان الذكاء الاصطناعي

ETH%0.95
LINK%0.47
BONK%2.48-

قامت مؤسسة Ethereum مؤخرًا بنشر وكلاء ذكاء اصطناعي لاختبار برمجيات البلوك تشين، واكتشفت ثغرة أمنية حقيقية مع كشف تحدٍ حاسم في عملية التحقق. وجد فريق أمان البروتوكول خطأً فعليًا في gossipsub، طبقة الرسائل التي يستخدمها عملاء Ethereum، وتم الإفصاح عنه بوصفه CVE-2026-34219. أظهرت التجربة أن وكلاء الذكاء الاصطناعي يمكنهم توليد تقارير ثغرات مقنعة لقضايا غير موجودة، مما يتطلب من المراجعين البشر التمييز بين عيوب برمجية حقيقية والنتائج الإيجابية الكاذبة. استهدفت الاختبارات تعزيز أمن أكبر بلوك تشين من حيث القيمة المقفلة. تعتمد بنية Ethereum التحتية على آلاف العقد التي تعمل عليها برمجيات الشبكة، حيث قد تؤدي أعطال الرسائل إلى تعطيل المُصدِّقين حتى عندما تظل السلسلة الأوسع سليمة.

مؤسسة Ethereum تكتشف ثغرة في gossipsub من خلال اختبار بعوامل ذكاء اصطناعي

كانت الثغرة التي حددها المهندسون موجودة في gossipsub، طبقة الرسائل التي يستخدمها عملاء Ethereum لتوزيع المعلومات عبر الشبكة. كانت الميزة تسمح لنظام بعيد بتنشيط تعطيل في برمجية العقدة. وعند وقوع التعطل، تواجه العقدة حسابًا مستحيلًا، وتتوقف عن التشغيل، ويُخرج المُصدِّق من الخدمة حتى يقوم مشغل بإعادة تشغيلها.

تم إصلاح المشكلة بسرعة وتم الإفصاح عنها بوصفها CVE-2026-34219، مع منح الفضل للفريق المعني. كانت الثغرة يمكنها أن تتسبب في تعطيل العقد عن بُعد، مما يؤثر على توافر المُصدِّقين، والمشاركة في الشبكة، ومتانة العملاء. وبالنسبة للمُصدِّقين، يتحول التوقف إلى خسائر في المكافآت ومخاطر تشغيلية.

كتب نيكوس باكسيفانيس، مؤلف منشور المؤسسة، أن المفاجأة تكمن في أن جزءًا صغيرًا فقط من العمل ذهب إلى العثور على الأخطاء، بينما ذهب الجزء الأكبر إلى التمييز بين الأخطاء الحقيقية وتلك التي تبدو حقيقية فحسب. نشرت المؤسسة ملاحظات ميدانية من العملية لتوضيح كيفية تعامل الفرق الأخرى مع سير عمل أمني مدعوم بالذكاء الاصطناعي.

وكلاء ذكاء اصطناعي يولدون ثلاث فئات من تقارير الإيجابيات الكاذبة

حددت المؤسسة ثلاث فئات من الإيجابيات الكاذبة التي ظلت تظهر. تتعلق الأولى بحالات التعطل التي كانت تحدث فقط في إصدارات الاختبار، حيث تم تمكين فحوصات أمان المترجم لكنها لن تكون موجودة في البرمجيات المُستَلمة. وفي تلك الحالات، لم يكن التعطل المبلغ عنه يؤثر على المستخدمين الحقيقيين.

أما الثانية فكانت تتعلق بهجمات لا تنجح إلا إذا تم إدراج قيمة خطرة يدويًا داخل البرنامج. فإذا كانت جميع المسارات الخارجية ترفض تلك القيمة قبل وصولها إلى مسار الكود المعرض للخطر، فلن يستطيع فاعل خارجي تنفيذ الهجوم. وجاءت الثالثة من التحقق الشكلي، حيث يمرّ الإثبات عبر إظهار شيء صحيح بشكل بديهي، دون تقديم دليل ذي معنى على أن البرمجيات تعمل بشكل صحيح.

في كل حالة، نتج عنها مظهر اختبار دون إثبات وجود مشكلة أمنية حقيقية. ينتج وكيل ذكاء اصطناعي سردًا يوضح كيف يمكن الوصول إلى الثغرة، ويجادل لماذا الأمر مهم، ويقترح تصنيفًا لشدة المشكلة، ويزود بكود يعمل يبدو أنه يبرهن على تنفيذ الهجوم. يمكن للتقرير أن يُقرأ بسلاسة سواء كانت الثغرة حقيقية أم مُصطنعة.

المؤسسة توصي بسير عمل مدعوم بالذكاء الاصطناعي لفرق الأمن

حذرت مؤسسة Ethereum من أن الوكلاء أقوى في التفكير بشأن لحظة واحدة أكثر من كونهم قادرين على تحديد الأخطاء التي تظهر عبر سلسلة من الإجراءات الصحيحة. وتبرز هذه الضعف بشكل خاص في التمويل اللامركزي، حيث يتسبب كثير من الاستغلالات في سلسلة من الخطوات الاعتيادية المرتبة في ترتيب ضار.

تطابق عدة هجمات حديثة هذا النمط. في استغلال Edel Finance، تم الالتفاف على تغذية أسعار Chainlink الدقيقة عبر طبقة الالتفاف فوقها. وفي هجوم حوكمة BONK، كانت عملية شراء الرموز، والتصويت، وتنفيذ اقتراح تمت المصادقة عليه كلها عمليات معاملات عادية. جاء الاستغلال من الطريقة التي اجتمعت بها تلك الإجراءات.

تتمثل خطة سير العمل التي تقترحها المؤسسة في استخدام الوكلاء لتقديم اقتراحات حول التسلسلات التي تستحق الاختبار، ثم إجراء الاختبارات بشكل مستقل. يعامل هذا النهج الذكاء الاصطناعي كوسيلة لتوسيع نطاق البحث عن مسارات هجوم محتملة، وليس كحكم نهائي حول وجود الثغرة. وكانت الخلاصة الرئيسية أن وكلاء الذكاء الاصطناعي يمكنهم توسيع سطح البحث مع زيادة الحاجة إلى التحقق المنضبط.

الأسئلة الشائعة

ما الثغرة التي اكتشفتها مؤسسة Ethereum باستخدام وكلاء ذكاء اصطناعي؟

اكتشفت مؤسسة Ethereum CVE-2026-34219، وهي ثغرة في gossipsub، طبقة الرسائل التي يستخدمها عملاء Ethereum. مكّنت هذه الثغرة نظامًا عن بُعد من إحداث تعطيل في برمجية العقدة، مما أدى إلى أن تصطدم العقدة بحساب مستحيل، وتتوقف عن التشغيل، وتُخرج المُصدِّق من الخدمة حتى يقوم مشغل بإعادة تشغيلها.

ما أنواع الإيجابيات الكاذبة التي أنتجها وكلاء ذكاء اصطناعي خلال اختبارات أمان Ethereum؟

حددت المؤسسة ثلاث فئات من الإيجابيات الكاذبة: حالات تعطل كانت تحدث فقط في إصدارات الاختبار مع عدم وجود فحوصات أمان المترجم في البرمجيات المُسَلَّمة، وهجمات تتطلب إدراج قيم خطرة يرفضها المسارات الخارجية قبل الوصول إلى مسار الكود المعرض للخطر، وإثباتات تحقق شكلي نجحت عبر إظهار شيء صحيح بشكل بديهي دون إثبات سلوك برمجيات صحيح.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات