Компания Octane Security, позиционирующая себя как «AI-нативная» фирма в сфере кибербезопасности, заявила, что её инструмент на основе искусственного интеллекта выявил уязвимость высокой степени серьёзности в программном обеспечении Nethermind, одном из клиентов для запуска блокчейна Ethereum. Уязвимость была устранена до того, как ею могли воспользоваться злоумышленники.
По данным Octane, почти 40% валидаторов Ethereum используют Nethermind. Эксплуатация бага могла привести к тому, что эти валидаторы начали бы пропускать блоки, что негативно сказалось бы на жизнеспособности (liveness) и доступности сети Ethereum. Основатель и CEO Octane Security Джованни Виньоне назвал этот случай «одной из самых важных демонстраций возможностей AI в области исследования уязвимостей», отметив, что ИИ ускоряет процессы формирования гипотез, проверки эксплойтов и создания отчётов в 10 раз.
Обнаружение уязвимости стало результатом участия Octane в конкурсе аудита, спонсируемом Gnosis и Lido перед запуском обновления Ethereum Fusaka в прошлом году. Компания сотрудничала с псевдонимным исследователем Guhu, который проверял потенциальные проблемы, выявленные ИИ. Вместе они отправили 17 отчётов, 16 из которых были исправлены командами разработчиков клиентов. Девять из них были классифицированы как серьёзные, причём шесть, по утверждению компании, являются уникальными. За это Octane и Guhu заняли четвёртое место в конкурсе, получив вознаграждение в размере $70 633.
Конкретная уязвимость в Nethermind, связанная с возможностью отправки «некорректно сформированной транзакции», была также отправлена в программу вознаграждений за обнаружение багов (bug bounty) Фонда Ethereum. По словам Octane, злоумышленник мог саботировать валидаторы, работающие на Nethermind, что привело бы к устойчивому пропуску слотов для создания блоков, потере вознаграждений, штрафам за неактивность и ухудшению работы сети. Баг не был использован и был оперативно исправлен, а Фонд Ethereum выплатил Octane вознаграждение в $50 000.
Это событие контрастирует с недавними опасениями по поводу роли ИИ в создании уязвимого кода. Ранее в этом месяце ошибка в коде, сгенерированном ИИ, привела к потере почти $2,7 млн в протоколе Moonwell. Генеральный директор компании по безопасности Certora Сет Халлем тогда отметил, что растущее распространение ИИ-кодинга делает критически важными инвестиции в проектирование, моделирование угроз и мониторинг.
В то же время в смежной новости OpenAI объявила, что ключевой бенчмарк для оценки навыков программирования ИИ, SWE-bench Verified, оказался «загрязнённым» из-за утечки данных в тренировочные наборы моделей. Это привело к завышенным результатам всех крупных моделей, включая Claude Opus и Gemini. OpenAI теперь продвигает более строгий бенчмарк SWE-bench Pro, на котором показатели моделей упали с ~70% до ~23%.
