Default
Door Remote - 09 Jul 2026
In het kort
Onderzoekers van de Ethereum Foundation gebruiken AI-agenten om kritieke netwerkinfrastructuur te redteameren.
De agenten hielpen bij het ontdekken van een peer-to-peer-softwarekwetsbaarheid die later werd onthuld.
Door AI ondersteunde audits hebben al bugs aan het licht gebracht in blockchain-projecten, waaronder Zcash.
De Ethereum Foundation gebruikt zwermen AI-agenten om Ethereum aan te vallen – voordat iemand anders dat doet.
In een blogpost op donderdag zeiden onderzoekers van de Ethereum Foundation van het Protocol Security-team dat ze een reeks AI-agenten hebben ingezet tegen de software waar Ethereum op vertrouwt, op jacht naar kwetsbaarheden in cryptografische systemen, protocolcode en slimme contracten.
“We hebben gecoördineerde AI-agenten ingezet tegen de soorten systemen waarvan het netwerk afhankelijk is, zoals systeemsoftware, cryptografische code en contracten die correct moeten zijn”, schreven de onderzoekers. “De agenten hebben echte bugs gevonden.”
Een van de ontdekte bugs was een op afstand veroorzaakte paniek in de gossipsub van libp2p, onderdeel van de peer-to-peer-laag die wordt gebruikt door Ethereum-consensusclients. Het probleem is opgelost en op Github bekendgemaakt als CVE-2026-34219.
Deze praktijk staat bekend als red teaming en houdt in dat bedrijven beveiligingsonderzoekers inzetten om hun eigen systemen aan te vallen, waarbij ze proberen netwerken te infiltreren of te ontwrichten om zwakke punten te ontdekken voordat kwaadwillende hackers deze vinden. Terwijl rode teams een systeem aanvallen, is het aan blauwe teams om het te verdedigen.
Menselijke onderzoekers hebben traditioneel naar kwetsbaarheden gezocht door code handmatig te beoordelen, maar AI-agenten kunnen hele codebases scannen, potentiële exploits testen en bevindingen ter beoordeling genereren.
"Agenten die bugs vonden waren geen verrassing", schreef het team. “De verrassing was hoe weinig werk er werd gestoken in het vinden ervan, en hoeveel werk er werd besteed aan het onderscheiden van de echte bugs van de bugs die er gewoon echt uitzagen.”
Volgens de Ethereum Foundation zijn de agenten georganiseerd in gespecialiseerde rollen, waaronder verkenning, jacht, opvullen van gaten en validatie. Sommigen zoeken naar mogelijke aanvalspaden, terwijl anderen proberen fouten te reproduceren en te verifiëren of ze werken tegen productiecode.
“Het schema is er met een reden”, schreven ze. "Het dwingt tot een specifieke, toetsbare claim en een duidelijke definitie van gedaan. Een agent die een waarneembaar bewijs moet opschrijven, kan niet terugvallen op "dit ziet er riskant uit."
De groeiende rol van AI in het onderzoek naar kwetsbaarheden werd in april aangetoond, toen een previewversie van Claude Mythos van Anthropic 271 kwetsbaarheden ontdekte in de Firefox-browser van Mozilla.
De onderzoekers vergeleken AI-agenten met fuzzers, of tools die software testen op gebreken. In tegenstelling tot fuzzers kunnen AI-agenten echter kwetsbaarheidsrapporten genereren, de impact beoordelen en proof-of-concept-tests maken.
Maar gedetailleerd betekent niet altijd correct. Door AI gegenereerde bevindingen kunnen overtuigend lijken, zelfs als ze fout zijn, waardoor onderzoekers duplicaten, valse positieven en kwetsbaarheden moeten uitfilteren die niet daadwerkelijk kunnen worden uitgebuit.
"Eén regel is belangrijker dan welke andere dan ook. Een kandidaat is pas een bevinding als er een op zichzelf staand artefact is dat de fout reproduceert aan de hand van de echte code, en dat geldt voor iemand die de code niet heeft geschreven", schreven de onderzoekers. "De reproducer leest het artikel niet, en het maakt niet uit hoe zelfverzekerd het model klonk. Het werkt of het werkt niet."
AI-tools hebben beveiligingsonderzoekers al geholpen tekortkomingen in blockchain-netwerken te ontdekken.
In mei gebruikte beveiligingsonderzoeker Taylor Hornby Claude Opus 4.8 van Anthropic tijdens een AI-ondersteunde audit waarbij een kritieke kwetsbaarheid in de Orchard-privacypool van Zcash werd ontdekt. De fout bestond al ongeveer vier jaar en had een aanvaller in staat kunnen stellen valse ZEC te maken zonder een duidelijk spoor in de keten. Een netwerkupgrade om het vertrouwen in het aanbod van Zcash te herstellen is nog in de maak.
Het experiment van de Ethereum Foundation brengt de technologie intern, waarbij AI-agenten worden gebruikt om de eigen code te testen om kwetsbaarheden te vinden.
"AI heeft de beveiligingsonderzoeker niet vervangen. Het heeft het werk verplaatst", aldus de Ethereum Foundation. "Agenten laten ons veel meer terrein bestrijken dan we met de hand zouden kunnen doen. In ruil daarvoor vragen ze om een zorgvuldiger oordeel, over een veel grotere stapel zelfverzekerd klinkende claims."
“Dat is een ruil die de moeite waard is,” voegden ze eraan toe, “zolang je maar onthoudt dat het oordeel het echte product is.”
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Onderzoekers van de Ethereum Foundation gebruiken AI-agenten om kritieke netwerkinfrastructuur te redteameren.
De agenten hielpen bij het ontdekken van een peer-to-peer-softwarekwetsbaarheid die later werd onthuld.
Door AI ondersteunde audits hebben al bugs aan het licht gebracht in blockchain-projecten, waaronder Zcash.
De Ethereum Foundation gebruikt zwermen AI-agenten om Ethereum aan te vallen – voordat iemand anders dat doet.
In een blogpost op donderdag zeiden onderzoekers van de Ethereum Foundation van het Protocol Security-team dat ze een reeks AI-agenten hebben ingezet tegen de software waar Ethereum op vertrouwt, op jacht naar kwetsbaarheden in cryptografische systemen, protocolcode en slimme contracten.
“We hebben gecoördineerde AI-agenten ingezet tegen de soorten systemen waarvan het netwerk afhankelijk is, zoals systeemsoftware, cryptografische code en contracten die correct moeten zijn”, schreven de onderzoekers. “De agenten hebben echte bugs gevonden.”
Een van de ontdekte bugs was een op afstand veroorzaakte paniek in de gossipsub van libp2p, onderdeel van de peer-to-peer-laag die wordt gebruikt door Ethereum-consensusclients. Het probleem is opgelost en op Github bekendgemaakt als CVE-2026-34219.
Deze praktijk staat bekend als red teaming en houdt in dat bedrijven beveiligingsonderzoekers inzetten om hun eigen systemen aan te vallen, waarbij ze proberen netwerken te infiltreren of te ontwrichten om zwakke punten te ontdekken voordat kwaadwillende hackers deze vinden. Terwijl rode teams een systeem aanvallen, is het aan blauwe teams om het te verdedigen.
Menselijke onderzoekers hebben traditioneel naar kwetsbaarheden gezocht door code handmatig te beoordelen, maar AI-agenten kunnen hele codebases scannen, potentiële exploits testen en bevindingen ter beoordeling genereren.
"Agenten die bugs vonden waren geen verrassing", schreef het team. “De verrassing was hoe weinig werk er werd gestoken in het vinden ervan, en hoeveel werk er werd besteed aan het onderscheiden van de echte bugs van de bugs die er gewoon echt uitzagen.”
Volgens de Ethereum Foundation zijn de agenten georganiseerd in gespecialiseerde rollen, waaronder verkenning, jacht, opvullen van gaten en validatie. Sommigen zoeken naar mogelijke aanvalspaden, terwijl anderen proberen fouten te reproduceren en te verifiëren of ze werken tegen productiecode.
“Het schema is er met een reden”, schreven ze. "Het dwingt tot een specifieke, toetsbare claim en een duidelijke definitie van gedaan. Een agent die een waarneembaar bewijs moet opschrijven, kan niet terugvallen op "dit ziet er riskant uit."
De groeiende rol van AI in het onderzoek naar kwetsbaarheden werd in april aangetoond, toen een previewversie van Claude Mythos van Anthropic 271 kwetsbaarheden ontdekte in de Firefox-browser van Mozilla.
De onderzoekers vergeleken AI-agenten met fuzzers, of tools die software testen op gebreken. In tegenstelling tot fuzzers kunnen AI-agenten echter kwetsbaarheidsrapporten genereren, de impact beoordelen en proof-of-concept-tests maken.
Maar gedetailleerd betekent niet altijd correct. Door AI gegenereerde bevindingen kunnen overtuigend lijken, zelfs als ze fout zijn, waardoor onderzoekers duplicaten, valse positieven en kwetsbaarheden moeten uitfilteren die niet daadwerkelijk kunnen worden uitgebuit.
"Eén regel is belangrijker dan welke andere dan ook. Een kandidaat is pas een bevinding als er een op zichzelf staand artefact is dat de fout reproduceert aan de hand van de echte code, en dat geldt voor iemand die de code niet heeft geschreven", schreven de onderzoekers. "De reproducer leest het artikel niet, en het maakt niet uit hoe zelfverzekerd het model klonk. Het werkt of het werkt niet."
AI-tools hebben beveiligingsonderzoekers al geholpen tekortkomingen in blockchain-netwerken te ontdekken.
In mei gebruikte beveiligingsonderzoeker Taylor Hornby Claude Opus 4.8 van Anthropic tijdens een AI-ondersteunde audit waarbij een kritieke kwetsbaarheid in de Orchard-privacypool van Zcash werd ontdekt. De fout bestond al ongeveer vier jaar en had een aanvaller in staat kunnen stellen valse ZEC te maken zonder een duidelijk spoor in de keten. Een netwerkupgrade om het vertrouwen in het aanbod van Zcash te herstellen is nog in de maak.
Het experiment van de Ethereum Foundation brengt de technologie intern, waarbij AI-agenten worden gebruikt om de eigen code te testen om kwetsbaarheden te vinden.
"AI heeft de beveiligingsonderzoeker niet vervangen. Het heeft het werk verplaatst", aldus de Ethereum Foundation. "Agenten laten ons veel meer terrein bestrijken dan we met de hand zouden kunnen doen. In ruil daarvoor vragen ze om een zorgvuldiger oordeel, over een veel grotere stapel zelfverzekerd klinkende claims."
“Dat is een ruil die de moeite waard is,” voegden ze eraan toe, “zolang je maar onthoudt dat het oordeel het echte product is.”
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!

