La Fundación Ethereum y la Inteligencia Artificial
La Fundación Ethereum está utilizando enjambres de agentes de inteligencia artificial (IA) para atacar su propia red, anticipándose a posibles ataques externos. En una publicación de blog del jueves, los investigadores del equipo de Seguridad de Protocolo de la Fundación Ethereum anunciaron que han desplegado una serie de agentes de IA para examinar el software del que depende Ethereum, buscando vulnerabilidades en sistemas criptográficos, código de protocolo y contratos inteligentes.
«Hemos estado ejecutando agentes de IA coordinados contra los tipos de sistemas de los que depende la red, como software de sistemas, código criptográfico y contratos que deben ser correctos», escribieron los investigadores. «Los agentes encontraron errores reales».
Uno de los errores descubiertos fue un pánico activado de forma remota en gossipsub de libp2p, parte de la capa peer-to-peer utilizada por los clientes de consenso de Ethereum. Este problema fue solucionado y divulgado en GitHub como CVE-2026-34219.
Red Teaming y el Rol de la IA
Conocida como «red teaming», esta práctica implica que las empresas desplieguen investigadores de seguridad para atacar sus propios sistemas, intentando infiltrarse o interrumpir redes para descubrir debilidades antes de que hackers maliciosos las encuentren. Mientras los equipos rojos atacan un sistema, corresponde a los equipos azules defenderlo.
Tradicionalmente, los investigadores humanos han buscado vulnerabilidades revisando el código manualmente, pero los agentes de IA pueden escanear bases de código enteras, probar posibles exploits y generar hallazgos para revisión.
«Que los agentes encuentren errores no fue la sorpresa», escribió el equipo. «La sorpresa fue cuán poco trabajo se dedicó a encontrarlos, y cuánto se dedicó a distinguir los errores reales de aquellos que solo parecían reales».
Según la Fundación Ethereum, los agentes están organizados en roles especializados, incluyendo reconocimiento, caza, llenado de vacíos y validación. Algunos buscan posibles caminos de ataque, mientras que otros intentan reproducir fallos y verificar si funcionan contra el código de producción.
«El esquema está ahí por una razón», escribieron. «Forza una afirmación específica y comprobable y una clara definición de finalización. Un agente que tiene que escribir una prueba observable no puede recurrir a ‘esto parece arriesgado'».
Desafíos y Oportunidades
El creciente papel de la IA en la investigación de vulnerabilidades se demostró en abril, cuando una versión preliminar de Claude Mythos de Anthropic descubrió 271 vulnerabilidades en el navegador Firefox de Mozilla. Los investigadores compararon los agentes de IA con fuzzers, o herramientas que prueban software en busca de fallos. Sin embargo, a diferencia de los fuzzers, los agentes de IA pueden generar informes de vulnerabilidad, evaluar el impacto y crear pruebas de concepto.
No obstante, lo detallado no siempre significa correcto. Los hallazgos generados por IA pueden parecer convincentes incluso cuando son incorrectos, lo que obliga a los investigadores a filtrar duplicados, falsos positivos y vulnerabilidades que no pueden ser realmente explotadas.
«Una regla importa más que cualquier otra. Un candidato no es un hallazgo hasta que hay un artefacto autónomo que reproduce el fallo contra el código real, y que se ejecuta para alguien que no lo escribió», escribieron los investigadores. «El reductor no lee el informe, y no le importa cuán seguro sonaba el modelo. O se ejecuta o no».
Ejemplos de Éxito
Las herramientas de IA ya han ayudado a los investigadores de seguridad a descubrir fallos en redes blockchain. En mayo, el investigador de seguridad Taylor Hornby utilizó Claude Opus 4.8 de Anthropic durante una auditoría asistida por IA que encontró una vulnerabilidad crítica en el pool de privacidad Orchard de Zcash. Este fallo había existido durante aproximadamente cuatro años y podría haber permitido a un atacante crear ZEC falsificado sin un rastro obvio en la cadena. Una actualización de red para restaurar la confianza en el suministro de Zcash aún está en proceso.
El experimento de la Fundación Ethereum lleva la tecnología internamente, utilizando agentes de IA para probar su propio código y encontrar vulnerabilidades.
«La IA no reemplazó al investigador de seguridad. Movió el trabajo», dijo la Fundación Ethereum. «Los agentes nos permiten cubrir mucho más terreno del que podríamos a mano. A cambio, piden un juicio más cuidadoso, a través de un montón mucho más grande de afirmaciones que suenan confiables».
«Ese es un intercambio que vale la pena hacer», añadieron, «siempre que recuerdes que el juicio es el verdadero producto».