Ethereum Foundation đang sử dụng các tác nhân AI để săn tìm lỗ hổng, qua đó chuyển trọng tâm công việc bảo mật từ việc phát hiện lỗi sang chứng minh lỗi nào thực sự tồn tại.
Ethereum Foundation đang sử dụng các nhóm tác nhân trí tuệ nhân tạo để tấn công chính mạng lưới Ethereum trước khi những đối tượng khác thực hiện điều đó. Trong một bài đăng trên blog hôm thứ Năm, các nhà nghiên cứu thuộc nhóm An ninh Giao thức của Ethereum Foundation cho biết họ đã triển khai một loạt tác nhân trí tuệ nhân tạo phối hợp nhằm kiểm thử các phần mềm mà Ethereum phụ thuộc vào, qua đó tìm kiếm lỗ hổng trong các hệ thống mật mã, mã giao thức và hợp đồng thông minh.
Nhóm nghiên cứu cho biết các tác nhân đã phát hiện những lỗi thực sự, trong đó một lỗi đáng chú ý là sự cố dừng đột ngột có thể bị kích hoạt từ xa trong gossipsub của libp2p, thành phần thuộc lớp mạng ngang hàng được các máy khách đồng thuận Ethereum sử dụng. Vấn đề này đã được khắc phục và công bố trên GitHub với mã định danh CVE-2026-34219.
Phương pháp được áp dụng gọi là kiểm thử đối kháng, trong đó doanh nghiệp triển khai các nhà nghiên cứu bảo mật để tấn công chính hệ thống của mình nhằm phát hiện điểm yếu trước khi tin tặc độc hại tìm ra chúng, trong khi đội xanh đảm nhiệm nhiệm vụ bảo vệ hệ thống. Khác với phương pháp truyền thống dựa vào rà soát mã nguồn thủ công, các tác nhân trí tuệ nhân tạo có thể quét toàn bộ cơ sở mã, kiểm thử các phương thức khai thác tiềm năng và tạo ra kết quả để chuyên gia xem xét.
Thách thức lớn nhất không phải tìm lỗi mà là xác minh lỗi thật
Theo Ethereum Foundation, các tác nhân được phân công theo những vai trò chuyên biệt, bao gồm trinh sát, săn tìm, bổ khuyết khoảng trống và xác thực, trong đó một số tác nhân tìm kiếm các đường tấn công tiềm năng còn các tác nhân khác cố gắng tái tạo sự cố và xác minh liệu các phương thức này có hoạt động trên mã đang được sử dụng trong môi trường thực tế hay không.
Nhóm nghiên cứu nhận định rằng điều bất ngờ không nằm ở việc các tác nhân tìm ra lỗi, mà ở chỗ phần lớn công sức lại dồn vào việc phân biệt các lỗi thực sự với những lỗi chỉ có vẻ là thật.
So sánh với công cụ fuzzer truyền thống
Các nhà nghiên cứu so sánh tác nhân trí tuệ nhân tạo với các công cụ kiểm thử mờ (fuzzer) vốn được dùng để kiểm tra phần mềm nhằm phát hiện lỗi, nhưng khác với fuzzer, các tác nhân trí tuệ nhân tạo có thể tạo báo cáo lỗ hổng, đánh giá mức độ ảnh hưởng và xây dựng các bài kiểm thử minh chứng khái niệm.
Tuy nhiên, báo cáo chi tiết không đồng nghĩa với kết quả chính xác, bởi các phát hiện do AI tạo ra có thể trông rất thuyết phục ngay cả khi sai, khiến các nhà nghiên cứu phải lọc bỏ kết quả trùng lặp, cảnh báo sai và những lỗ hổng trên thực tế không thể bị khai thác.
Nhóm nghiên cứu nhấn mạnh nguyên tắc cốt lõi là một lỗ hổng nghi vấn chưa thể được coi là phát hiện cho đến khi có một sản phẩm độc lập tái tạo được sự cố trên mã thực tế và có thể chạy được bởi người không phải tác giả của nó.
Vai trò ngày càng lớn của trí tuệ nhân tạo trong nghiên cứu lỗ hổng từng được thể hiện vào tháng 4, khi một phiên bản thử nghiệm của Claude Mythos do Anthropic phát triển phát hiện 271 lỗ hổng trong trình duyệt Firefox của Mozilla.
Vào tháng 5, nhà nghiên cứu bảo mật Taylor Hornby cũng từng sử dụng Claude Opus 4.8 của Anthropic trong một cuộc kiểm toán có sự hỗ trợ AI, qua đó phát hiện một lỗ hổng nghiêm trọng tồn tại khoảng bốn năm trong vùng bảo mật Orchard của Zcash, có thể cho phép kẻ tấn công tạo ra ZEC giả mà không để lại dấu vết rõ ràng trên chuỗi.
Ethereum Foundation khẳng định trí tuệ nhân tạo không thay thế nhà nghiên cứu bảo mật mà chỉ chuyển dịch trọng tâm công việc, cho phép bao quát phạm vi rộng hơn nhiều so với phương pháp thủ công, đổi lại đòi hỏi khả năng phán đoán thận trọng hơn trước khối lượng lớn các tuyên bố có vẻ đầy tự tin.




































































