暗号セキュリティ企業がAIを使って、約40%のバリデータが使用するEthereumクライアントNethermindの高深刻度バグを検知。ネットワーク運用を混乱させる可能性があった欠陥は、悪用前に修正された。この進展は、AI生成コードの脆弱性に関する最近の懸念の中で、サイバーセキュリティにおけるAIの役割の拡大を強調している。
AIネイティブ企業とされるOctane Securityは、水曜日にそのAIツールがEthereumブロックチェーンを支えるソフトウェアNethermindにクリティカルな脆弱性を特定したと発表した。NethermindはEthereumバリデータの約40%で利用されており、このバグは悪用された場合にネットワークの生存性と可用性にリスクをもたらした。 脆弱性は、悪意あるトランザクションによる潜在的な妨害を含み、Nethermindベースのプロポーザーによるスロット継続的な見逃しを引き起こす可能性があった。影響を受けたバリデータはブロック報酬の喪失、不活性リーク罰則、ネットワークパフォーマンスの全体的な低下に直面した可能性があった。しかし、このバグは決して悪用されず、Nethermindにより迅速にパッチが適用された。 Octane Securityの創業者兼CEOであるGiovanni Vignone氏は、「これはこれまでで最高のリスクを伴うAI主導の脆弱性研究のデモンストレーションの一つだ」と述べた。彼は、AIが脆弱性研究を加速させ、バグ仮説、エクスプロイト検証、レポートを10倍速く行えるようになり、オン-chainコードの脅威モデルを再構築していると付け加えた。 この発見は、先週Anthropicがコードベースを脆弱性スキャンしパッチを提案するAIツールを発売し、サイバーセキュリティ株に影響を与えた直後である。以前の暗号分野でのAI懸念には、監査を通過したにもかかわらずAI生成コードが270万ドルの損失を招いたMoonwellインシデントが含まれる。 Octaneの実績には、昨年EthereumアップグレードFusakaの準備中に匿名研究者Guhuとのパートナーシップが含まれる。彼らは監査コンテストで17件の問題を提出し、16件が修正され、9件が重大、6件が独自のものであり、4位と70,633ドルの報酬を獲得した。Ethereum FoundationはNethermindの問題でOctaneに50,000ドルのバグバウンティを授与した。 Vignone氏は、「AIを使って欠陥を継続的に発見・修正していないなら、blackhatsと競争していることになる」と強調した。CertoraのCEOであるSeth Hallem氏はMoonwell後に、AIコーディングの普及に伴い、デザイン、脅威モデリング、監視への投資増加が不可欠だと指摘した。
