L'équipe de sécurité du protocole de la Fondation Ethereum a déployé des agents d'IA pour tester l'infrastructure critique du réseau, a-t-elle révélé dans un article de blog jeudi. Les agents ont découvert plusieurs vulnérabilités, dont un panic déclenché à distance dans libp2p's gossipsub, divulgué sous le nom de CVE-2026-34219 sur Github. Ce test de sécurité assisté par l'IA marque l'adoption par la Fondation des pratiques de red teaming, où les organisations attaquent leurs propres systèmes pour identifier les faiblesses avant que des hackers malveillants ne les exploitent.
Fondation Ethereum déploie des agents d'IA spécialisés
La Fondation Ethereum a organisé des agents d'IA en rôles spécialisés, notamment reconnaissance, chasse, comblement de lacunes et validation. Certains agents recherchent des voies d'attaque possibles, d'autres tentent de reproduire des échecs et de vérifier leur impact sur le code en production. Les agents ont testé des logiciels système, du code cryptographique et des contrats intelligents sur lesquels repose le réseau Ethereum.
Les chercheurs ont indiqué que la découverte de bugs par les agents n’était pas surprenante, mais la répartition du travail l’était. « La surprise était de voir combien de travail consistait à distinguer les vrais bugs de ceux qui en avaient simplement l’air », ont déclaré l’équipe dans l’article de blog.
Agents d'IA découvrent la vulnérabilité CVE-2026-34219 dans libp2p
Une vulnérabilité détectée par les agents d'IA était un panic déclenché à distance dans libp2p's gossipsub, une composante de la couche pair-à-pair utilisée par les clients de consensus Ethereum. La Fondation Ethereum a corrigé le problème et l’a divulgué sur Github sous le nom de CVE-2026-34219.
La Fondation compare les agents d'IA aux fuzzers, outils qui testent les logiciels pour détecter des failles. Contrairement aux fuzzers, les agents d'IA peuvent générer des rapports de vulnérabilités, évaluer leur impact et créer des tests de preuve de concept. Les chercheurs ont établi une règle de validation : « Un candidat n’est pas une vulnérabilité tant qu’il n’y a pas un artefact autonome reproduisant l’échec contre le vrai code, et qui fonctionne pour quelqu’un qui ne l’a pas écrit. »
Les modèles Claude d'Anthropic découvrent des failles dans Firefox et Zcash
Le modèle Claude Mythos d’Anthropic a découvert 271 vulnérabilités dans le navigateur Firefox de Mozilla en avril. Le chercheur en sécurité Taylor Hornby a utilisé Claude Opus 4.8 d’Anthropic en mai lors d’un audit assisté par l’IA, qui a révélé une vulnérabilité critique dans la pool de confidentialité Orchard de Zcash.
Cette faille dans Zcash a existé pendant environ quatre ans et aurait permis à un attaquant de créer des ZEC contrefaits sans trace évidente sur la blockchain. Une mise à jour du réseau pour restaurer la confiance dans l’approvisionnement de Zcash est en cours, selon la source.
Des chercheurs humains valident les découvertes de sécurité générées par l'IA
Les résultats produits par l’IA peuvent sembler convaincants même lorsqu’ils sont incorrects, obligeant les chercheurs à filtrer les doublons, faux positifs et vulnérabilités exploitables ou non. Les chercheurs de la Fondation Ethereum ont précisé que des résultats détaillés ne signifient pas toujours des résultats corrects.
« L’IA n’a pas remplacé le chercheur en sécurité. Elle a déplacé le travail », ont-ils déclaré. « Les agents nous permettent de couvrir beaucoup plus de terrain que ce que nous pourrions faire à la main. En échange, ils demandent un jugement plus précis, face à un volume beaucoup plus important de déclarations qui semblent crédibles. » L’équipe a ajouté que le jugement reste le vrai produit du processus de sécurité assisté par l’IA.
FAQ
Quelle vulnérabilité les agents d'IA de la Fondation Ethereum ont-ils découvert dans libp2p ?
Les agents ont découvert un panic déclenché à distance dans libp2p's gossipsub, une composante de la couche peer-to-peer utilisée par les clients de consensus Ethereum. La Fondation Ethereum a corrigé et divulgué le problème sur Github sous le nom de CVE-2026-34219.
Combien de vulnérabilités Anthropic's Claude Mythos a-t-il trouvé dans Firefox ?
Claude Mythos d’Anthropic a découvert 271 vulnérabilités dans le navigateur Firefox de Mozilla en avril, illustrant le rôle croissant de l’IA dans la recherche de failles.
Quels rôles jouent les agents d'IA dans les tests de sécurité d'Ethereum ?
La Fondation Ethereum a organisé des agents d’IA en rôles spécialisés, notamment reconnaissance, chasse, comblement de lacunes et validation. Certains agents recherchent des voies d’attaque, d’autres reproduisent des échecs et vérifient les exploits contre le code en production.