اكتشفت منظمة ذكاء اصطناعي ثغرة في شبكة إيثريوم: يمكنها إجبار المُحقِّقين على التعطّل والخروج عن الاتصال

نشرت مؤسسة إيثريوم مجموعة من وكلاء الذكاء الاصطناعي لاكتشاف ثغرة لتعطّل (crash) يمكن تشغيلها عن بُعد بما يكفي لإخراج المُحقِّقين عن الاتصال، وكشف النقاب عنها على أنها CVE-2026-34219. لكن الدفعة نفسها من وكلاء الذكاء الاصطناعي ولّدت أيضًا نحو 1,000 إنذارٍ كاذب دفعةً واحدة؛ والتحدي الحقيقي يكمن في التمييز بين ما هو حقيقي وما هو مجرد مزعوم.
(خلفية سابقة: على نحوٍ مدهش! شركة أمن سيبراني عثرت على ثغرة في Aptos: مخاطر منهجية لنحو 70 مليار دولار من الأصول المشفرة لديها)
(إضافة سياقية: الكشف عن هجوم “ابتزاز إلكتروني” ذاتي بالكامل باستخدام الذكاء الاصطناعي! الكود JadePuffer يتتبّع محافظ العملات المشفرة حصراً)

مجموعة من وكلاء الذكاء الاصطناعي (AI agents) صممتها مؤسسة إيثريوم، تمكنت بالفعل من العثور على ثغرة يمكنها إبعاد المُحقِّقين عن الاتصال! إذ جعلت مؤسسة إيثريوم الذكاء الاصطناعي يقوم بمسح البرامج التي ينفّذها المُحقِّقون، وكان الهدف المحدد هو طبقة البروتوكول التي تستخدمها عُقد شبكة إيثريوم للتواصل فيما بينها داخل عميل الإجماع (consensus client)، أي البرمجية المسؤولة عن التحقق من الكتل والحفاظ على الإجماع بين العُقد. وبعبارة بسيطة، هذه قناة “همس” بين المُحقِّقين للتأكد من أنهم يرون السلسلة نفسها.

في هذا السياق، عثر وكيل الذكاء الاصطناعي على ثغرة تعطّل قابلة للتشغيل عن بُعد: يمكن لشخص خارجي، بمجرد إرسال رسالة بطريقة محددة، أن يجبر برنامج العقد على تنفيذ عملية “لا يمكن حسابها بالكامل”، بحيث يتعذر على البرنامج الصمود، فيتوقف تلقائيًا ويغلق نفسه. وبذلك يخرج المُحقِّقون عن الاتصال، ويضطر المشغّل (مشغل العقد) إلى إعادة التشغيل يدويًا لاستعادة الخدمة؛ وخلال ذلك قد تؤثر المهام التي فاتت على العوائد واستقرار الشبكة.

جرى إصلاح هذه الثغرة بسرعة، وتم الكشف عنها على أنها CVE-2026-34219. وتكمن المشكلة في تنفيذ gossipsub ضمن libp2p إصدار Rust (مجموعة مكتبات شبكات منخفضة المستوى تتيح للعُقد اكتشاف بعضها، والاتصال، وتبادل الرسائل).

كتب Nikos Baxevanis في ملاحظات ميدانية علنية أن العثور على هذه الثغرات يتطلب جهداً قليلاً، بينما الوقت الحقيقي يُصرف في التمييز بين ما هو حقيقي وما يبدو كذلك.

التغليف السردي للإنذارات الكاذبة عبر “الحكاية” التي يقدّمها الذكاء الاصطناعي

أدوات الاختبار الضبابي التقليدية لا تُرجع سوى “تعطّل” و“المكان الذي وقع فيه”، وبوسع المهندسين خلال دقائق التأكد إن كان ذلك صحيحًا أم مجرد ضجيج. لكن وكلاء الذكاء الاصطناعي يعيدون تقريرًا كامل السرد: سيتتبع الوكيل كيف تم تشغيل الثغرة، ويقدّم حجة عن سبب أهمية الأمر، ويعطي درجة شدة (خطورة) بنفسه، بل ويضيف مقطع كود هجوم قابل للتنفيذ مباشرة؛ وكل ذلك يُغلَّف في نص سلس. ونتيجة ذلك أن الثغرة الحقيقية والمزيفة في القراءة قد تبدوان متطابقتين تقريبًا.

لخّص فريق مؤسسة إيثريوم ثلاثة أنواع متكررة من الإنذارات الكاذبة:

  • مشكلات لا يحدث فيها التعطّل إلا في عمليات البناء للنسخة التجريبية (compiler يفعّل فحوصات أمان لا تكون موجودة في النسخة الرسمية، ومن ثم لن يواجهها المستخدمون الحقيقيون)
  • هجمات لا يمكن أن تنجح إلا إذا تم إدخال قيم خطرة يدويًا داخل الكود (كل مسار يمكن لطرف خارجي اتباعه كان، في الواقع، سيحجب هذه القيمة مسبقًا)
  • ثم توجد “البراهين غير الصالحة” الناتجة عن التحقق الرسمي (formal verification، أي إثبات رياضي لما إذا كان سلوك البرنامج صحيحًا)، إذ تُثبت شيئًا تافهًا واضح الصدق ولا يقدم أي معلومة جديدة عن البرنامج نفسه.

لكن المشكلة الأساسية أكثر عمقًا: الذكاء الاصطناعي بارع في الاستدلال حول ما حدث في “لحظة واحدة”، لكنه أضعف في الحكم على الثغرات التي تتكوّن عبر “عدة خطوات متعاقبة” كل خطوة منها تبدو سليمة بذاتها وقانونية، والخطأ يكمن في التسلسل.

“التحكيم” (Triage) هو المنتج

يقدّم فريق مؤسسة إيثريوم حلاً يتمثل في عدم التخلص من الذكاء الاصطناعي ولا “قبول كل شيء” كما هو؛ بل إسناد وكيل الذكاء الاصطناعي مهمة “اقتراح” تسلسلات عمليات تستحق الاختبار، بينما تبقى عملية التحقق الفعلية كما هي: تشغيل الاختبارات التقليدية وفحصها يدويًا. لا تنتقل صلاحية الحكم؛ والذكاء الاصطناعي يظل دورُه دائمًا أداة بحث، لا بديلًا عن باحثي الأمان من البشر.

يبدو أن القدرة على العثور على ثغرة بسرعة خلال وقت قصير ليست أكثر ما ينقص في عصر الذكاء الاصطناعي؛ فالأمر الأندر هو معرفة أي اكتشاف حقيقي.

ETH%0.59
APT%0.14-
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت