Ethereum

La Fondation Ethereum libère l’IA sur le réseau ETH pour détecter les bogues avant les pirates informatiques

image

Bref

  • Les chercheurs de la Fondation Ethereum utilisent des agents d’IA pour équiper les infrastructures réseau critiques.
  • Les agents ont aidé à découvrir une vulnérabilité logicielle peer-to-peer qui a ensuite été révélée.
  • Les audits assistés par l’IA ont déjà révélé des bugs dans des projets blockchain, notamment Zcash.

La Fondation Ethereum utilise des essaims d’agents IA pour attaquer Ethereum avant que quelqu’un d’autre ne le fasse.

Dans un article de blog publié jeudi, les chercheurs de la Fondation Ethereum de l’équipe de sécurité du protocole ont déclaré avoir déployé une série d’agents d’IA contre le logiciel sur lequel s’appuie Ethereum, à la recherche de vulnérabilités dans les systèmes cryptographiques, le code de protocole et les contrats intelligents.

« Nous avons utilisé des agents d’IA coordonnés contre les types de systèmes dont dépend le réseau, comme les logiciels système, le code cryptographique et les contrats qui doivent être corrects », ont écrit les chercheurs. « Les agents ont trouvé de vrais bugs. »

L’un des bugs découverts incluait une panique déclenchée à distance dans le gossipsub de libp2p, une partie de la couche peer-to-peer utilisée par les clients de consensus Ethereum. Le problème a été résolu et divulgué sur Github sous le numéro CVE-2026-34219.

Connue sous le nom de Red Teaming, cette pratique implique que les entreprises déploient des chercheurs en sécurité pour attaquer leurs propres systèmes, tentant d’infiltrer ou de perturber les réseaux pour découvrir les faiblesses avant que des pirates malveillants ne les trouvent. Pendant que les équipes rouges attaquent un système, c’est aux équipes bleues de le défendre.

Les chercheurs humains recherchent traditionnellement les vulnérabilités en examinant le code manuellement, mais les agents d’IA peuvent analyser des bases de code entières, tester des exploits potentiels et générer des résultats à examiner.

« Les agents trouvant des bugs n’étaient pas une surprise », a écrit l’équipe. « La surprise a été de constater à quel point peu de travail a été consacré à leur recherche, et combien a été consacré à distinguer les vrais bugs de ceux qui semblaient réels. »

Selon la Fondation Ethereum, les agents sont organisés en rôles spécialisés, notamment la reconnaissance, la chasse, le comblement des lacunes et la validation. Certains recherchent des chemins d’attaque possibles, tandis que d’autres tentent de reproduire les échecs et de vérifier s’ils fonctionnent contre le code de production.

« Le schéma est là pour une raison », écrivent-ils. « Cela impose une affirmation spécifique et testable et une définition claire de ce qui est fait. Un agent qui doit écrire une preuve observable ne peut pas se contenter de « cela semble risqué ».

Le rôle croissant de l’IA dans la recherche sur les vulnérabilités a été démontré en avril, lorsqu’une version préliminaire de Claude Mythos d’Anthropic a découvert 271 vulnérabilités dans le navigateur Firefox de Mozilla.

Les chercheurs ont comparé les agents d’IA à des fuzzers ou à des outils qui testent les failles des logiciels. Cependant, contrairement aux fuzzers, les agents IA peuvent générer des rapports de vulnérabilité, évaluer l’impact et créer des tests de validation de principe.

Mais détaillé ne signifie pas toujours correct. Les résultats générés par l’IA peuvent sembler convaincants même lorsqu’ils sont erronés, ce qui oblige les chercheurs à filtrer les doublons, les faux positifs et les vulnérabilités qui ne peuvent réellement être exploitées.

« Une règle compte plus que toute autre. Un candidat n’est pas une découverte tant qu’il n’existe pas un artefact autonome qui reproduit l’échec par rapport au code réel, et qui s’exécute pour quelqu’un qui ne l’a pas écrit », ont écrit les chercheurs. « Le reproducteur ne lit pas le texte et ne se soucie pas de la fiabilité du modèle. Soit il fonctionne, soit il ne fonctionne pas. »

Les outils d’IA ont déjà aidé les chercheurs en sécurité à découvrir les failles des réseaux blockchain.

En mai, le chercheur en sécurité Taylor Hornby a utilisé Claude Opus 4.8 d’Anthropic lors d’un audit assisté par l’IA qui a révélé une vulnérabilité critique dans le pool de confidentialité Orchard de Zcash. La faille existait depuis environ quatre ans et aurait pu permettre à un attaquant de créer un ZEC contrefait sans trace évidente sur la chaîne. Une mise à niveau du réseau visant à restaurer la confiance dans l’approvisionnement de Zcash est toujours en cours.

L’expérience de la Fondation Ethereum apporte la technologie en interne, en utilisant des agents d’IA pour tester son propre code afin de trouver des vulnérabilités.

« L’IA n’a pas remplacé le chercheur en sécurité. Elle a fait évoluer le travail », a déclaré la Fondation Ethereum. « Les agents nous permettent de couvrir beaucoup plus de terrain que ce que nous pourrions faire manuellement. En échange, ils demandent un jugement plus attentif, sur une pile beaucoup plus importante de réclamations semblant confiantes. »

« C’est un échange qui en vaut la peine », ont-ils ajouté, « tant que vous vous souvenez que le jugement est le vrai produit. »

To Top