Die Ethereum Foundation hat mithilfe Künstlicher Intelligenz eine kritische Sicherheitslücke im Ethereum-Netzwerk entdeckt. Ein Angreifer hätte darüber Validatoren aus der Ferne zum Absturz bringen und damit vorübergehend aus dem Netzwerk nehmen können. Die Schwachstelle betraf das Peer-to-Peer-Protokoll gossipsub und wurde inzwischen geschlossen.
Der Bug wurde von mehreren koordiniert eingesetzten KI-Agenten entdeckt, teilte die Ethereum Foundation mit. “Die Überraschung war nicht, dass die Agenten Fehler gefunden haben”, schreibt Ethereum-Entwickler Nikos Baxevanis. “Überraschend war vielmehr, wie wenig Arbeit in das Finden der Fehler floss – und wie viel in die Unterscheidung zwischen echten Schwachstellen und solchen, die nur echt aussahen”.
Nur falscher Alarm?
Nach Angaben der Foundation identifizierten die KI-Agenten zahlreiche potenzielle Schwachstellen. Ein erheblicher Teil davon erwies sich bei der anschließenden Prüfung jedoch als Fehlalarm. Die vermeintlichen Bugs traten demnach ausschließlich in Testumgebungen und teilweise in Angriffsszenarien auf, die unter realen Bedingungen nicht möglich wären. Jede Meldung werde daher unabhängig überprüft, bevor sie als Sicherheitslücke eingestuft werde.
Für die Ethereum Foundation verändere Künstliche Intelligenz damit vor allem den Ablauf von Sicherheitsaudits. “KI hat Sicherheitsforscher nicht ersetzt. Sie hat die Arbeit verlagert”, schreibt Baxevanis. Heute gehe es weniger darum, mögliche Schwachstellen zu finden als sie zuverlässig zu überprüfen.
