Crypto Prices

Ethereum Foundation setzt KI auf ETH-Netzwerk ein, um Sicherheitslücken vor Hackern zu identifizieren

vor 1 Tag
2 minuten gelesen
4 ansichten

Einführung

Die Ethereum Foundation nutzt Schwärme von KI-Agenten, um potenzielle Schwachstellen im Ethereum-Netzwerk zu identifizieren, bevor sie von böswilligen Akteuren ausgenutzt werden können. In einem Blogbeitrag am Donnerstag erklärten Forscher des Protocol Security-Teams der Ethereum Foundation, dass sie eine Reihe von KI-Agenten gegen die Software eingesetzt haben, auf die Ethereum angewiesen ist, um nach Schwachstellen in kryptografischen Systemen, Protokollcode und Smart Contracts zu suchen.

Methodik und Ergebnisse

„Wir haben koordinierte KI-Agenten gegen die Systeme eingesetzt, auf die das Netzwerk angewiesen ist, wie Betriebssystemsoftware, kryptografischen Code und Verträge, die korrekt sein müssen“, schrieben die Forscher. „Die Agenten fanden tatsächlich Fehler.“

Einer der entdeckten Fehler betraf einen aus der Ferne ausgelösten Panic in libp2p’s gossipsub, einem Teil der Peer-to-Peer-Schicht, die von Ethereum-Konsens-Clients verwendet wird. Das Problem wurde behoben und auf GitHub als CVE-2026-34219 veröffentlicht.

Red Teaming und KI-Agenten

Diese Praxis, bekannt als Red Teaming, beinhaltet, dass Unternehmen Sicherheitsexperten einsetzen, um ihre eigenen Systeme anzugreifen, um Netzwerke zu infiltrieren oder zu stören und Schwächen zu entdecken, bevor böswillige Hacker sie finden. Während Red Teams ein System angreifen, liegt es an den Blue Teams, es zu verteidigen.

Menschliche Forscher haben traditionell nach Schwachstellen gesucht, indem sie den Code manuell überprüften – jedoch können KI-Agenten gesamte Codebasen scannen, potenzielle Exploits testen und Ergebnisse zur Überprüfung generieren.

„Dass Agenten Fehler finden, war nicht die Überraschung“, schrieb das Team. „Die Überraschung war, wie wenig Aufwand in das Finden von ihnen floss und wie viel in das Unterscheiden der echten Fehler von denjenigen, die nur echt aussahen.“

Organisation der KI-Agenten

Laut der Ethereum Foundation sind die Agenten in spezialisierte Rollen organisiert, darunter Aufklärung, Jagd, Lückenfüllung und Validierung. Einige suchen nach möglichen Angriffspfaden, während andere versuchen, Fehler zu reproduzieren und zu überprüfen, ob sie gegen Produktionscode funktionieren.

„Das Schema ist aus einem bestimmten Grund da“, schrieben sie. „Es zwingt zu einer spezifischen, testbaren Behauptung und einer klaren Definition von ‚fertig‘. Ein Agent, der einen beobachtbaren Beweis aufschreiben muss, kann sich nicht auf ‚das sieht riskant aus‘ zurückziehen.“

Vergleich mit Fuzzern

Die wachsende Rolle von KI in der Schwachstellenforschung wurde im April demonstriert, als eine Vorschauversion von Anthropic’s Claude 271 Schwachstellen im Firefox-Browser von Mozilla entdeckte. Die Forscher verglichen KI-Agenten mit Fuzzern, also Werkzeugen, die Software auf Fehler testen. Im Gegensatz zu Fuzzern können KI-Agenten jedoch Schwachstellenberichte generieren, Auswirkungen bewerten und Proof-of-Concept-Tests erstellen.

Doch detaillierte Ergebnisse bedeuten nicht immer, dass sie korrekt sind. KI-generierte Ergebnisse können überzeugend erscheinen, selbst wenn sie fehlerhaft sind, was die Forscher dazu zwingt, Duplikate, falsch-positive Ergebnisse und Schwachstellen herauszufiltern, die tatsächlich nicht ausgenutzt werden können.

„Eine Regel ist wichtiger als alle anderen. Ein Kandidat ist kein Ergebnis, bis es ein eigenständiges Artefakt gibt, das den Fehler gegen den echten Code reproduziert und das für jemanden läuft, der es nicht geschrieben hat“, schrieben die Forscher.

Praktische Anwendungen und Ausblick

KI-Tools haben bereits dazu beigetragen, dass Sicherheitsexperten Fehler in Blockchain-Netzwerken aufdecken. Im Mai verwendete der Sicherheitsforscher Taylor Hornby Anthropic’s Claude Opus 4.8 während eines KI-unterstützten Audits, das eine kritische Schwachstelle im Zcash Orchard Privacy Pool fand. Der Fehler bestand seit etwa vier Jahren und hätte es einem Angreifer ermöglicht, gefälschte ZEC ohne offensichtliche On-Chain-Spuren zu erstellen.

Ein Netzwerk-Upgrade zur Wiederherstellung des Vertrauens in das Angebot von Zcash ist noch in Arbeit. Das Experiment der Ethereum Foundation bringt die Technologie intern zur Anwendung, indem KI-Agenten eingesetzt werden, um ihren eigenen Code zu testen und Schwachstellen zu finden.

„KI hat den Sicherheitsforscher nicht ersetzt. Es hat die Arbeit verlagert“, sagte die Ethereum Foundation. „Agenten ermöglichen es uns, viel mehr abzudecken, als wir von Hand könnten. Im Gegenzug verlangen sie eine sorgfältigere Beurteilung über einen viel größeren Stapel von vertrauenswürdig klingenden Behauptungen.“

„Das ist ein Handel, der es wert ist, gemacht zu werden“, fügten sie hinzu, „solange man sich daran erinnert, dass das Urteil das eigentliche Produkt ist.“