#Ethereum #AI #Bảo mật blockchain #Validator #CVE-2026-34219 #Gossipsub #Bug fix

AI phát hiện lỗi Ethereum nguy hiểm, nhưng con người phải chứng minh

6 phút đọc
X Telegram
Mục lục
AI phát hiện lỗi Ethereum nguy hiểm, nhưng con người phải chứng minh

Tóm tắt

Dự luật CLARITY Act phân định rõ thẩm quyền quản lý tài sản số giữa SEC và CFTC, dự kiến công bố tuần tới.

AI phát hiện lỗi Ethereum nguy hiểm, nhưng con người phải chứng minh

Gần đây, Ethereum Foundation đã triển khai các agent AI để tìm kiếm lỗi bảo mật trong phần mềm chạy mạng lưới blockchain lớn nhất thế giới. Kết quả là phát hiện một lỗ hổng nghiêm trọng có khả năng đưa các validator node ngoại tuyến, nhưng cũng phát sinh thách thức lớn: con người vẫn cần phải chứng minh và xác nhận những phát hiện này.

Lỗi gossipsub mà AI tìm thấy và con người xác nhận

Ethereum hoạt động dựa trên hàng nghìn node — những máy tính thông thường chạy phần mềm của mạng, mỗi node giữ một bản sao của blockchain và truyền thông điệp cho các node lân cận. Các validator, những node cược ether và bỏ phiếu xác nhận block hợp lệ, hoạt động dựa trên lớp này. Họ chỉ hoạt động bình thường nếu các thông điệp đến được chúng.

Lỗi mà các kỹ sư phát hiện nằm trong gossipsub — hệ thống truyền thông điệp của Ethereum. Lỗ hổng này cho phép một hệ thống từ xa kích hoạt một crash, nơi phần mềm node gặp phải một phép tính không thể thực hiện, từ bỏ và tự tắt mình, đưa validator ngoại tuyến cho đến khi người vận hành khởi động lại nó. Lỗi này đã được khắc phục nhanh chóng và công bố dưới dạng "CVE-2026-34219".

Thách thức lớn: phân biệt lỗi thực với dương tính giả

Nhân tố thực sự đáng lo ngại là khả năng phân biệt giữa những lỗi thực của các agent và những lỗi chỉ trông có vẻ thực. Theo Nikos Baxevanis từ Protocol Security team của Ethereum Foundation: "Điều gây ngạc nhiên là phần nhỏ công việc dành cho việc tìm lỗi, và phần lớn dành cho việc phân biệt những lỗi thực từ những cái chỉ trông giống lỗi thôi."

Các agent AI trả về một narrative được tạo ra, chứ không chỉ một crash record như fuzzer truyền thống. Agent trình bày cách lỗ hổng có thể được khai thác, tranh luận về tại sao nó quan trọng, đề xuất mức độ nghiêm trọng và cung cấp code hoạt động chứng minh cuộc tấn công — tất cả được viết dưới dạng lời văn lưu loát. Vấn đề là: nó đọc giống nhau cho dù lỗi là thực hay được bịa đặt.

Ba loại dương tính giả phổ biến nhất

Theo Ethereum Foundation, ba loại dương tính giả liên tục xuất hiện:

Thứ nhất: Crash chỉ xảy ra trong bản build kiểm thử, nơi trình biên dịch bật các kiểm tra an toàn mà phần mềm được phát hành không có, do đó không có gì bị hỏng đối với người dùng thực.

Thứ hai: Một cuộc tấn công chỉ hoạt động nếu giá trị nguy hiểm được đặt bên trong chương trình bằng tay, bởi vì mọi route mà kẻ bên ngoài có thể sử dụng để gửi nó đều từ chối giá trị này.

Thứ ba: Từ formal verification — thực tiễn chứng minh bằng toán học rằng code hoạt động chính xác — nơi một proof vượt qua bằng cách chứng minh một cái gì đó hiển nhiên đúng và không nói gì cho người xem xét về phần mềm thực tế.

Mỗi loại là một test chưa bao giờ thực sự kiểm thử bất cứ điều gì, nhưng một agent lại viết phiên bản rỗng đó cũng nhanh và thuyết phục như phiên bản chính hãng.

Vai trò không thể thay thế của con người

Thực tế này cho thấy rằng AI, mặc dù mạnh mẽ trong việc tạo ra các sequence đáng ngờ và narrative thuyết phục, vẫn không thể thay thế con người hoàn toàn trong công việc kiểm thử bảo mật. Ethereum Foundation hiện sử dụng các agent để đề xuất các chuỗi đáng ngờ, nhưng vẫn dựa vào các phương pháp kiểm thử truyền thống và xem xét của con người để xác nhận chúng.

Điều này đặc biệt quan trọng đối với các cuộc tấn công phát triển theo các bước hợp lệ, giống như các cuộc tấn công Edel Finance và BONK gần đây, nơi AI gặp khó khăn trong việc xác định các lỗ hổng phức tạp có tính chất chuỗi.

Kết luận

Kỳ thử nghiệm của Ethereum Foundation với AI agent chứng minh rằng công nghệ này là một công cụ hỗ trợ mạnh mẽ cho việc tìm kiếm lỗi bảo mật, nhưng không phải là giải pháp toàn diện. Khoảng cách giữa một phát hiện AI thuyết phục và một lỗi bảo mật thực sự vẫn cần được con người cầu thị, kỹ lưỡng xác minh và xác nhận. Trong tương lai, sự kết hợp giữa AI và sự phán xét của con người sẽ tiếp tục là chìa khóa để nâng cao bảo mật cho các mạng blockchain như Ethereum.

Câu hỏi thường gặp

CLARITY Act là gì?

Là dự luật của Mỹ nhằm phân định rõ cơ quan quản lý tài sản số.

Khi nào có hiệu lực?

Dự kiến được công bố trong tuần tới, lộ trình hiệu lực sẽ theo sau.