La Fondation Ethereum découvre un vrai bug ainsi que des faux positifs lors d’un test de sécurité basé sur l’IA

ETH1,68%
LINK1,30%
BONK-0,63%

La Fondation Ethereum a récemment déployé des agents IA pour tester des logiciels de blockchain, révélant une véritable faille de sécurité tout en mettant en lumière un défi critique de vérification. L’équipe Protocol Security a identifié un vrai bogue dans gossipsub, la couche de messagerie utilisée par les clients Ethereum, qui a été divulgué sous le nom de CVE-2026-34219. L’exercice a montré que des agents IA peuvent générer des rapports de vulnérabilité convaincants pour des problèmes inexistants, obligeant des relecteurs humains à distinguer de véritables défauts logiciels des faux positifs. Les tests visaient à renforcer la sécurité de la plus grande blockchain en termes de valeur verrouillée. L’infrastructure d’Ethereum repose sur des milliers de nœuds exécutant des logiciels réseau, où des défaillances de messagerie peuvent perturber les validateurs même lorsque la chaîne dans son ensemble reste intacte.

La Fondation Ethereum découvre une vulnérabilité de gossipsub via des tests avec IA

Le bogue identifié par des ingénieurs se trouvait dans gossipsub, la couche de messagerie utilisée par les clients Ethereum pour diffuser des informations sur le réseau. La faille permettait à un système distant de déclencher un crash dans le logiciel du nœud. Lorsque le crash survenait, le nœud atteignait un calcul impossible, cessait de fonctionner et mettait le validateur hors ligne jusqu’à ce qu’un opérateur le redémarre.

Le problème a été corrigé rapidement et divulgué sous le nom de CVE-2026-34219, avec des crédits accordés à l’équipe concernée. Le bogue pouvait faire crasher des nœuds à distance, affectant la disponibilité des validateurs, la participation au réseau et la résilience des clients. Pour les validateurs, les périodes d’indisponibilité se traduisent par des récompenses manquées et un risque opérationnel.

Nikos Baxevanis, qui a rédigé le billet de la Fondation, a écrit que la surprise venait de la faible part du travail consacrée à la découverte de bogues, et de la quantité importante consacrée à distinguer les vrais bogues de ceux qui semblaient réels. La Fondation a publié des notes de terrain issues du processus pour montrer comment d’autres équipes devraient gérer des workflows de sécurité assistés par IA.

Les agents IA génèrent trois catégories de rapports de faux positifs

La Fondation a identifié trois types de faux positifs qui continuaient d’apparaître. Le premier concernait des crashs qui ne se produisaient que dans des versions de test, où des vérifications de sécurité du compilateur étaient activées mais n’existeraient pas dans le logiciel livré. Dans ces cas-là, le crash rapporté ne touchait pas de vrais utilisateurs.

Le deuxième concernait des attaques qui ne fonctionnaient que si une valeur dangereuse était insérée manuellement dans le programme. Si chaque voie externe rejetait cette valeur avant qu’elle n’atteigne le chemin de code vulnérable, l’attaque ne pouvait pas être exécutée par un acteur externe. Le troisième provenait de la vérification formelle, où une preuve passait en démontrant quelque chose de trivialement vrai, sans apporter de preuve significative que le logiciel se comportait correctement.

Dans chaque cas, on obtenait l’apparence d’un test sans prouver un vrai problème de sécurité. Un agent IA produit un récit, expliquant comment la faille pourrait être atteinte, argumentant pourquoi cela compte, proposant une note de sévérité et fournissant du code fonctionnel qui semble démontrer l’attaque. Le rapport peut se lire avec fluidité que le bogue soit réel ou inventé.

La Fondation recommande un workflow assisté par IA pour les équipes de sécurité

La Fondation Ethereum a averti que les agents sont plus efficaces pour raisonner sur un instant donné que pour identifier des bogues qui émergent à travers une séquence d’actions valides. Cette faiblesse est particulièrement pertinente pour la finance décentralisée, où de nombreuses exploitations sont dues à une séquence d’étapes ordinaires agencées dans un ordre nuisible.

Plusieurs attaques récentes correspondent à ce schéma. Dans l’exploitation d’Edel Finance, un flux de prix Chainlink exact a été contourné via la couche d’emballage au-dessus de celui-ci. Dans l’attaque de gouvernance BONK, l’achat de tokens, le vote et l’exécution d’une proposition adoptée étaient chacun des transactions normales. L’exploitation provient de la manière dont ces actions se combinent.

Le workflow proposé par la Fondation consiste à utiliser des agents pour suggérer quelles séquences valent la peine d’être testées, puis à exécuter les tests de manière indépendante. Cette approche traite l’IA comme un moyen d’élargir la recherche de voies d’attaque possibles, et non comme le juge final de l’existence d’une vulnérabilité. La conclusion principale était que les agents IA peuvent élargir la surface de recherche tout en augmentant le besoin de vérifications disciplinées.

FAQ

Quelle vulnérabilité la Fondation Ethereum a-t-elle découverte en utilisant des agents IA ?

La Fondation Ethereum a découvert CVE-2026-34219, un bogue dans gossipsub, la couche de messagerie utilisée par les clients Ethereum. La faille permettait à un système distant de déclencher un crash dans le logiciel du nœud, provoquant le déclenchement d’un calcul impossible, l’arrêt du fonctionnement et la mise hors ligne du validateur jusqu’à ce qu’un opérateur le redémarre.

Quels types de faux positifs les agents IA ont-ils produits pendant des tests de sécurité d’Ethereum ?

La Fondation a identifié trois types de faux positifs : des crashs qui ne se produisaient que dans des versions de test avec des vérifications de sécurité du compilateur absentes dans le logiciel livré, des attaques nécessitant des valeurs dangereuses insérées manuellement que les voies externes rejetteraient, et des preuves de vérification formelle qui passaient en montrant quelque chose de trivialement vrai sans prouver le bon comportement du logiciel.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire