De Ethereum Foundation heeft een innovatieve aanpak ontwikkeld door gebruik te maken van AI-agents om kwetsbaarheden in de onderliggende netwerkstructuur proactief te identificeren. In recente berichtgeving werd onthuld dat het Protocol Security-team een reeks AI-agents heeft ingezet om de software van Ethereum onder de loep te nemen. Dit voorkomt potentiële aanvallen door kwaadwillende hackers door eerst zelf de kwetsbaarheden bloot te leggen.
De onderzoekers omschreven hun werkwijze als een vorm van ‘red teaming’, waarbij een organisatie haar systemen onder vuur neemt om zwakheden te ontdekken. In tegenstelling tot de traditionele methoden waarbij menselijke beveiligingsexperts handmatig code doorlichtten, zijn deze AI-agents in staat om hele codebases te scannen en potentiële exploitatiemogelijkheden te testen.
Een van de opmerkelijke ontdekkingen van deze AI-agents was een kwetsbaarheid in libp2p’s gossipsub, een essentieel onderdeel van de peer-to-peer communicatie die gebruikt wordt door Ethereum-compatibele cliënten. Deze kwetsbaarheid, die op afstand kon worden geëxploiteerd, is inmiddels verholpen en openbaar gemaakt onder het referentienummer CVE-2026-34219.
De Ethereum Foundation heeft benadrukt dat de inzet van AI-agents niet alleen gaat om het vinden van foutjes, maar ook om een gestructureerde beoordeling van deze bevindingen. Een specifiek kader leidt de agents tijdens hun onderzoeken, waardoor ze vastlijden aan meetbare en testbare claims. Dit elimineert de mogelijkheid van een subjectieve beoordeling die alleen maar op het gevoel is gebaseerd.
De inzet van AI in deze context verlegt de focus van menselijke interventie naar een uitbreiding van mogelijkheden. Dit werd onlangs bevestigd toen gebruik werd gemaakt van de AI-tool Anthropic’s Claude Mythos, die maar liefst 271 kwetsbaarheden ontdekte in de Firefox-browser. Wat AI-agents kan onderscheiden van andere tools, zoals fuzzers, is hun vermogen om impactanalyses uit te voeren en proof-of-concept tests te genereren.
Echter, het is cruciaal om te beseffen dat niet alle AI-gegenereerde bevindingen op waarheid berusten. Het onderscheid kunnen maken tussen echte kwetsbaarheden en valse positieven blijft een uitdaging. De onderzoekers benadrukken dat een kandidaat voor een kwetsbaarheid pas als zodanig wordt erkend wanneer er een reproduceerbaar bewijs voorhanden is dat daadwerkelijk tegen de echte code werkt.
De recente audit van Zcash, waarbij de beveiligingsonderzoeker Taylor Hornby eveneens gebruikmakend van AI, heeft de noodzaak onderstreept van dergelijke technologie in cryptoprojecten. Een kritieke kwetsbaarheid in de Orchard privacy pool, die al vier jaar bestond, zou in staat zijn geweest om een aanvaller te faciliteren om vervalste ZEC-munten te creëren zonder duidelijke sporen op de blockchain. De urgentie om vertrouwen te herstellen in de Zcash-levering heeft geleid tot een netwerkupgrade die momenteel in ontwikkeling is.
De benadering van de Ethereum Foundation benadrukt niet alleen de effectiviteit van AI in het detecteren van kwetsbaarheden, maar ook een verschuiving in de rol van menselijke onderzoekers zelf. Ook al doet AI de onderzoeker niet verdwijnen, het verlegt wel de nadruk op meer strategische werkmethodes. De Ethereum Foundation verwoordde het treffend: “De agents stellen ons in staat om veel meer terrein te dekken dan we ooit handmatig zouden kunnen. In ruil daarvoor moeten we echter wel zorgvuldiger oordelen over een grotere hoeveelheid claims die op het eerste gezicht betrouwbaar lijken.”
De integratie van AI in beveiligingsonderzoeken vertegenwoordigt een belangrijke stap voorwaarts in de ontwikkeling van de cryptomarkt. Het biedt niet alleen een efficiënter dashboard voor kwetsbaarheidsonderzoek, maar ook een fundament voor een robuustere en veiligere blockchain-infrastructuur. Dit biedt investeerders en beleidsmakers een verbeterde visie op de toekomst van digitale activa.
Hoe effectief zijn AI-agents in het identificeren van kwetsbaarheden?
AI-agents zijn uiterst effectief en kunnen grote codebases snel doorzoeken, waardoor ze niet alleen sneller vulnerable punten identificeren, maar ook verschillende matrices van impact inschatten.
Wat zijn de beperkingen van AI in dit type onderzoek?
De beperkingen van AI liggen vooral in het risico van valse positieven en de noodzaak van menselijke validatie. AI-gegenereerde resultaten moeten altijd tegen de echte code worden getest.
Hoe verhoudt zich deze ontwikkeling tot de bredere cryptomarkt?
Deze ontwikkelingen zijn cruciaal voor de groei van de cryptomarkt. Het versterkt het vertrouwen in digitale activa en stimuleert investeringen door een betere beveiliging te bieden.
