Siguenos en

La Fundación Ethereum confirma que la IA ya detecta vulnerabilidades reales, pero advierte sobre sus falsos positivos

·
·

La Fundación Ethereum ha revelado los resultados de diferentes experimentos utilizando agentes de inteligencia artificial coordinados para analizar componentes críticos del ecosistema. Los sistemas consiguieron identificar vulnerabilidades reales en código de protocolo, criptografía y contratos inteligentes, aunque los investigadores advierten que la supervisión humana continúa siendo indispensable para separar fallos legítimos de informes generados incorrectamente por la IA.


Ethereum utiliza agentes de IA para analizar código crítico

El equipo de Protocol Security de la Fundación Ethereum está experimentando con agentes de inteligencia artificial para reforzar la seguridad del ecosistema.

Los sistemas trabajan sobre componentes considerados fundamentales para el funcionamiento de Ethereum.

El análisis incluye software de sistemas.

También se estudian implementaciones criptográficas y contratos inteligentes.

Los agentes utilizan modelos de inteligencia artificial para examinar código y buscar comportamientos capaces de provocar errores o vulnerabilidades.

Los resultados muestran que estas herramientas ya pueden identificar problemas reales dentro de infraestructuras altamente complejas.

Sin embargo, la Fundación Ethereum considera que encontrar posibles fallos representa únicamente una pequeña parte del proceso de seguridad.

La IA detectó una vulnerabilidad real en libp2p

Uno de los resultados más importantes apareció durante el análisis de libp2p.

Los agentes identificaron un fallo dentro de la implementación gossipsub.

Este componente forma parte de la infraestructura de comunicación peer-to-peer utilizada por clientes de consenso de Ethereum.

La vulnerabilidad podía provocar un panic activado remotamente.

Un atacante podía generar determinadas condiciones capaces de afectar al comportamiento del software.

El problema fue investigado posteriormente.

La vulnerabilidad terminó siendo divulgada públicamente y corregida.

El fallo recibió la identificación CVE-2026-34219.

El descubrimiento demuestra que los agentes de IA pueden localizar vulnerabilidades reales dentro de componentes utilizados por infraestructura crítica.

Detectar errores no es el principal problema

La Fundación Ethereum advierte que la búsqueda de vulnerabilidades ha cambiado considerablemente.

Los modelos de inteligencia artificial pueden analizar grandes cantidades de código.

También pueden generar hipótesis sobre posibles fallos.

El verdadero problema aparece después.

Los investigadores necesitan determinar cuáles de los hallazgos representan vulnerabilidades reales.

Este proceso es conocido como triage.

Los agentes pueden generar una enorme cantidad de informes.

Muchos parecen técnicamente convincentes.

Los documentos pueden incluir descripciones detalladas.

También pueden proponer niveles de gravedad y generar código de prueba.

Sin embargo, una parte importante de estos resultados termina siendo descartada.

Los falsos positivos continúan siendo un problema para la IA

Los agentes de inteligencia artificial pueden interpretar incorrectamente determinados comportamientos.

Un error puede existir únicamente dentro de una versión de depuración del software.

En este escenario, el problema no necesariamente afecta al código utilizado en producción.

Otros informes describen situaciones que un atacante real no podría alcanzar.

La IA puede construir una secuencia teórica.

Sin embargo, las condiciones necesarias pueden resultar imposibles dentro del funcionamiento real del protocolo.

También existen pruebas de concepto que parecen demostrar un fallo.

Después de una revisión más profunda, los investigadores descubren que el código no rompe realmente la propiedad de seguridad analizada.

La capacidad de generar explicaciones convincentes puede dificultar todavía más el proceso.

Ethereum desarrolla un sistema de múltiples agentes especializados

El equipo de Protocol Security utiliza una metodología basada en diferentes agentes.

Los sistemas trabajan simultáneamente.

Cada agente mantiene una función específica.

El modelo está inspirado parcialmente en metodologías utilizadas por organizaciones como Anthropic y Cloudflare.

Algunos agentes realizan tareas de reconocimiento.

Su objetivo consiste en analizar el código e identificar hipótesis que puedan ser probadas.

Otros agentes funcionan como cazadores de vulnerabilidades.

Estos sistemas intentan construir reproducciones del posible fallo.

Los agentes analizan diferentes áreas de manera paralela

La metodología también incorpora agentes destinados a identificar vacíos dentro del análisis.

Estos sistemas observan qué partes del código ya han sido estudiadas.

El objetivo es evitar que múltiples agentes investiguen exactamente los mismos elementos.

La distribución del trabajo permite ampliar la cobertura.

Otros agentes actúan como validadores independientes.

Su función consiste en revisar los posibles hallazgos.

La separación de responsabilidades reduce parcialmente el riesgo de aceptar conclusiones incorrectas.

La Fundación Ethereum utiliza la coordinación entre diferentes modelos como una forma de aumentar la calidad del análisis.

Una vulnerabilidad necesita cumplir criterios estrictos

Los investigadores han definido diferentes requisitos para aceptar un hallazgo.

El sistema debe identificar claramente el objetivo analizado.

También necesita definir la propiedad de seguridad que debería mantenerse.

La vulnerabilidad debe mostrar un mecanismo específico capaz de romper esa propiedad.

El fallo necesita producir un resultado observable.

No es suficiente con generar una explicación teórica.

Los investigadores también exigen una reproducción independiente.

La prueba debe funcionar de manera fiable contra código utilizado en producción.

Los hallazgos que no cumplen estos requisitos son descartados o enviados nuevamente al proceso de investigación.

Ethereum compara los agentes de IA con fuzzers avanzados

La Fundación Ethereum no considera los agentes como sistemas infalibles.

El equipo los describe como herramientas de búsqueda extremadamente potentes.

Su funcionamiento puede compararse parcialmente con técnicas avanzadas de fuzzing.

El fuzzing genera grandes cantidades de entradas para intentar provocar comportamientos inesperados dentro del software.

Los agentes de IA pueden realizar un proceso conceptualmente similar.

Sin embargo, utilizan especificaciones, código y razonamiento para generar hipótesis.

La inteligencia artificial puede explorar rápidamente diferentes posibilidades.

Los humanos continúan siendo responsables de validar los resultados.

Cada posible vulnerabilidad necesita revisión humana

Los investigadores analizan la capacidad real de un atacante para alcanzar el fallo.

Una vulnerabilidad teórica puede no representar un riesgo práctico.

La accesibilidad del problema resulta fundamental.

También se analiza el coste necesario para realizar el ataque.

Un fallo capaz de provocar un impacto limitado mediante una inversión extremadamente elevada puede recibir una clasificación diferente.

Los expertos comparan el coste del atacante con el daño potencial.

Los investigadores también verifican si la vulnerabilidad ya había sido identificada anteriormente.

Los informes duplicados representan otro problema dentro de los sistemas automatizados.

La tasa de vulnerabilidades reales depende del código analizado

La cantidad de hallazgos aceptados varía considerablemente.

Los componentes nuevos pueden presentar una mayor cantidad de problemas.

El código que ha sido sometido a múltiples auditorías suele generar menos vulnerabilidades válidas.

Esta diferencia también proporciona información sobre la calidad del software.

Una tasa extremadamente baja de hallazgos confirmados puede indicar que el código ha alcanzado un elevado nivel de madurez.

Sin embargo, también puede significar que las herramientas necesitan mejorar sus técnicas de análisis.

La Fundación Ethereum utiliza los resultados para evaluar simultáneamente la seguridad del código y la capacidad de los agentes.

La IA destaca al combinar especificaciones y código

Los agentes muestran una elevada capacidad para analizar documentación técnica.

Los modelos pueden estudiar las especificaciones del protocolo.

Posteriormente, comparan estas reglas con la implementación real.

La diferencia entre ambos elementos puede revelar posibles errores.

La IA también puede generar rápidamente versiones iniciales de pruebas de concepto.

Los sistemas proponen posibles causas del fallo.

Esta capacidad puede acelerar considerablemente las primeras etapas de una investigación.

Los expertos pueden concentrarse posteriormente en validar los escenarios más prometedores.

Los modelos todavía fallan con secuencias complejas

La inteligencia artificial mantiene importantes limitaciones.

Los agentes pueden tener dificultades para analizar operaciones que necesitan ejecutarse mediante largas secuencias.

Un protocolo puede requerir múltiples pasos válidos antes de alcanzar una determinada condición.

Los modelos pueden perder información durante este proceso.

También pueden interpretar incorrectamente la relación entre diferentes estados.

Los sistemas tienden además a sobreestimar la gravedad de determinados problemas.

Un fallo puede recibir inicialmente una clasificación crítica.

La revisión humana puede demostrar posteriormente que el impacto real es considerablemente menor.

La supervisión humana continúa siendo indispensable

La Fundación Ethereum considera que el juicio de los investigadores continúa siendo fundamental.

Los humanos determinan si una vulnerabilidad es válida.

También identifican informes duplicados.

Los expertos evalúan la gravedad.

Las decisiones relacionadas con la divulgación continúan bajo responsabilidad humana.

Una vulnerabilidad dentro de infraestructura blockchain puede afectar a miles de millones de dólares.

Publicar información prematuramente podría aumentar los riesgos.

Los investigadores necesitan coordinar las correcciones antes de revelar determinados detalles.

La inteligencia artificial puede ayudar durante el análisis.

Sin embargo, la responsabilidad final permanece en los equipos de seguridad.

La IA está cambiando el cuello de botella de la ciberseguridad

Anteriormente, una parte importante del trabajo consistía en generar hipótesis.

Los investigadores analizaban manualmente el código.

Posteriormente, intentaban identificar posibles escenarios de ataque.

La inteligencia artificial puede automatizar parcialmente esta fase.

Los agentes generan una gran cantidad de hipótesis.

También pueden explorar diferentes partes del software simultáneamente.

El problema se ha desplazado.

Ahora, los equipos necesitan evaluar miles de posibles hallazgos.

La validación se ha convertido en el nuevo cuello de botella.

Ethereum necesita sistemas capaces de analizar vulnerabilidades a escala

La cantidad de código utilizado dentro del ecosistema continúa aumentando.

Ethereum mantiene diferentes clientes.

Los protocolos DeFi desarrollan contratos inteligentes.

Las soluciones de capa 2 añaden nuevas infraestructuras.

Las implementaciones criptográficas también evolucionan.

Analizar manualmente todos estos componentes resulta extremadamente complejo.

Los agentes de inteligencia artificial pueden aumentar la cobertura.

Los sistemas trabajan continuamente.

También pueden estudiar diferentes repositorios en paralelo.

La capacidad de escalar el análisis representa una de las principales ventajas.

La reproducibilidad será fundamental para las auditorías con IA

La Fundación Ethereum considera que las metodologías deben mantener un elevado nivel de disciplina.

Los resultados necesitan conservar información sobre su origen.

Los investigadores deben conocer cómo se generó cada hallazgo.

Las pruebas también necesitan ser deterministas.

Un fallo que aparece una vez y no puede reproducirse resulta difícil de analizar.

Los scripts utilizados para demostrar vulnerabilidades deben mantenerse simples.

Una prueba excesivamente compleja puede introducir errores adicionales.

La claridad resulta fundamental para diferenciar vulnerabilidades reales de comportamientos generados por las propias herramientas.

Ethereum prepara una nueva era de auditorías asistidas por IA

Los experimentos del equipo de Protocol Security muestran una evolución importante dentro de la seguridad blockchain.

La inteligencia artificial ya puede encontrar vulnerabilidades reales en infraestructura crítica.

El descubrimiento de CVE-2026-34219 representa una prueba concreta.

Los agentes identificaron un problema dentro de un componente utilizado por clientes de consenso de Ethereum.

Sin embargo, los resultados también muestran las limitaciones actuales.

La IA genera falsos positivos.

Puede sobreestimar riesgos.

También mantiene dificultades para analizar secuencias complejas.

La Fundación Ethereum no considera que estas herramientas puedan sustituir a los investigadores.

Su objetivo es diferente.

Los agentes permiten analizar más código.

Generar más hipótesis.

Construir pruebas iniciales con mayor rapidez.

Los humanos continúan validando cada hallazgo.

La inteligencia artificial no ha eliminado el cuello de botella de la seguridad.

Lo ha desplazado.

El desafío ya no consiste únicamente en encontrar posibles vulnerabilidades.

Ahora, el verdadero reto es determinar cuáles son reales antes de que puedan convertirse en una amenaza para una infraestructura que protege miles de millones de dólares.

RELACIONADO

CALENDARIO ECONÓMICO

Accede a nuestro calendario económico y mantente al día con los eventos clave.
Recientes
Próximos
spot_img

DESTACADO

TE INTERESA