بنیاد اتریوم با استفاده از ابزارهای هوش مصنوعی موفق به شناسایی یک آسیب‌پذیری امنیتی مهم در نرم‌افزار اعتبارسنج‌های این شبکه شد؛ نقصی که می‌توانست مهاجمان را قادر سازد گره‌های اعتبارسنج را از راه دور از دسترس خارج کنند. این باگ پس از شناسایی، ثبت و به‌طور کامل برطرف شده است.

توسعه‌دهندگان بنیاد اتریوم اعلام کردند این آسیب‌پذیری در سیستم پیام‌رسانی gossipsub قرار داشت و پس از بررسی، با شناسه CVE-2026-34219 به ثبت رسید. این نقص امنیتی می‌توانست با ارسال داده‌های مخرب، باعث توقف عملکرد نرم‌افزار اعتبارسنج و خروج موقت آن از شبکه شود.

باگ چگونه اعتبارسنج‌های اتریوم را هدف قرار می‌داد؟

بر اساس توضیحات منتشرشده، مهاجم می‌توانست با ارسال داده‌های خاص به سیستم پیام‌رسانی شبکه، نرم‌افزار اعتبارسنج را از کار بیندازد. در چنین شرایطی، گره اعتبارسنج تا زمانی که اپراتور آن را به‌صورت دستی راه‌اندازی مجدد نمی‌کرد، از شبکه خارج می‌ماند.

اگرچه این نقص امنیتی پیش از هرگونه سوءاستفاده گسترده برطرف شد، اما می‌توانست در صورت بهره‌برداری، عملکرد بخشی از اعتبارسنج‌های شبکه اتریوم را مختل کند.

هوش مصنوعی؛ هم کمک‌کننده و هم چالش‌برانگیز

به گفته نیکوس باکسبانیس، نویسنده گزارش بنیاد اتریوم، بخش اصلی فرایند بررسی به کشف باگ اختصاص نداشت، بلکه صرف تشخیص گزارش‌های واقعی از خروجی‌های نادرست هوش مصنوعی شد.

به گفته او، عامل‌های هوش مصنوعی در طول بررسی، سناریوهای مفصل و ظاهراً منطقی درباره آسیب‌پذیری‌ها تولید می‌کردند که در عمل قابل بهره‌برداری نبودند. این گزارش‌ها معمولاً همراه با نمونه کد و توضیحاتی قانع‌کننده ارائه می‌شوند و تشخیص صحت آن‌ها بدون بررسی دقیق کارشناسان امکان‌پذیر نیست.

هوش مصنوعی هنوز در تحلیل حملات پیچیده ضعف دارد

بنیاد اتریوم اعلام کرده است که ابزارهای هوش مصنوعی در شناسایی آسیب‌پذیری‌های چندمرحله‌ای یا زنجیره‌ای هنوز عملکرد مطلوبی ندارند. این نوع حملات معمولاً از مجموعه‌ای از تراکنش‌های ظاهراً عادی تشکیل می‌شوند که در کنار هم به یک اقدام مخرب منجر می‌شوند.

به گفته توسعه‌دهندگان، نمونه‌هایی از چنین حملاتی پیش‌تر در پروتکل‌های مالی غیرمتمرکز مانند Edel Finance و سامانه حاکمیتی BONK مشاهده شده است.

تصمیم بنیاد اتریوم برای استفاده محدودتر از هوش مصنوعی

کارشناسان بنیاد اتریوم در پایان این بررسی به این نتیجه رسیده‌اند که بهترین کاربرد هوش مصنوعی، پیشنهاد سناریوهای مشکوک و کمک به آغاز فرایند بررسی است، نه تصمیم‌گیری نهایی.

بر همین اساس، اعتبارسنجی گزارش‌ها و تأیید نهایی آسیب‌پذیری‌ها همچنان با استفاده از روش‌های سنتی تست امنیتی و بررسی مستقیم متخصصان انجام خواهد شد تا احتمال خطا و تشخیص نادرست به حداقل برسد.

#CVE #آسیب_پذیری #امنیت_سایبری #هوش_مصنوعی