Ethereum Foundation, ağ yazılımı üzerinde koordineli yapay zeka ajanlarıyla yürüttüğü güvenlik çalışmasında, doğrulayıcıyı uzaktan çökertip operatör yeniden başlatana kadar çevrimdışı bırakabilen gerçek bir açık tespit etti. Açık giderildi ve CVE-2026-34219 koduyla kamuya açık şekilde duyuruldu.
Yapay zeka ajanlarıyla yapılan tarama
Foundation’ın Protokol Güvenliği ekibi, 9 Temmuz’da yayımlanan teknik notlarda sürecin nasıl ilerlediğini anlattı. Araştırmacı Nikos Baxevanis, ajanların ağ yazılımını taradığını ve üretilen bulguların daha sonra ekip tarafından tek tek doğrulandığını aktardı. Ethereum Foundation, Ethereum ekosisteminin çekirdek araştırma ve geliştirme çalışmalarını destekleyen kuruluş olarak biliniyor.
Koordineli yapay zeka ajanlarıyla yürütülen inceleme, doğrulayıcıyı uzaktan çökertip yeniden başlatılana kadar çevrimdışı bırakabilen gerçek bir güvenlik açığını ortaya çıkardı.
Baxevanis’in aktardığı çerçevede, asıl dikkat çeken nokta açığın bulunmasından çok, çalışma yönteminin kendisi oldu. Ekip, hata bulmaya harcanan çabanın sınırlı kaldığını, zamanın büyük bölümünün ise gerçek açıklarla ilk bakışta inandırıcı görünen yanlış sonuçları ayırmaya gittiğini belirtti.
Yanlış pozitifler öne çıktı
Ekip, klasik bir fuzzing aracının genelde çökme kaydı ve iz bilgisi döndürdüğünü, yapay zeka ajanlarının ise çağrı zinciri, önem derecesi ve çalışan kodla birlikte ikna edici bir anlatı ürettiğini vurguladı. Sorun, bu anlatının gerçek açıkta da uydurma bulguda da benzer derecede ikna edici görünmesi oldu.
Mini sözlük: Fuzzing, bir yazılımı beklenmedik veya rastgele girdilerle zorlayarak çökme ve güvenlik açığı arayan otomatik test yöntemidir. CVE ise kamuya açık biçimde kayda geçen güvenlik açıklarına verilen standart kimlik numarasıdır.
Tekrarlayan yanlış pozitifler arasında yalnızca test derlemelerinde ortaya çıkan çökmeler, bir değerin elle yerleştirilmesi halinde çalışan saldırı senaryoları ve pratikte işe yarar bir şeyi kanıtlamadan başarılı görünen resmi doğrulamalar yer aldı. Ekip, bu nedenle ajanları kesin hüküm veren araçlar olarak değil, hangi adım dizilerinin sınanması gerektiğini öneren yardımcı sistemler olarak kullanmaya başladı.
Nikos Baxevanis, harcanan emeğin büyük bölümünün açık aramaktan çok gerçek bulgularla yalnızca gerçekmiş gibi duran sonuçları ayırmaya gittiğini vurguluyor.
DeFi saldırı kalıplarıyla bağlantı
Foundation ekibi, yapay zeka ajanlarının tek tek bakıldığında geçerli görünen fakat belirli bir sırayla birleştiğinde istismara dönüşen çok adımlı saldırılarda zorlandığını kaydetti. Bu yapının, yıl içinde yüksek maliyet yaratan bazı DeFi saldırılarında da görüldüğü belirtildi.
Bu deney, Ethereum Foundation’ın son dönemde daha az personelle yapay zeka destekli doğrulama yöntemlerine daha fazla ağırlık verme yaklaşımıyla da örtüşüyor. Ekip, Anthropic ve Cloudflare’ın ajan tabanlı güvenlik araştırmalarında ulaştığı sonuca benzer bir değerlendirme yaptı: modeller insanlara kıyasla çok daha geniş alanı tarayabiliyor, ancak hangi bulgunun gerçek açık sayılacağına ve hangisinin açıklanacağına son aşamada yine insan karar veriyor.




