بلوكتشين

اكتشاف ثغرة في إيثريوم بواسطة الذكاء الاصطناعي تهدد بتعطيل المدققين، والإثبات كان بشرًيا

طور المهندسون في مؤسسة إيثريوم (Ethereum Foundation) مؤخرًا وكلاء ذكاء اصطناعي (AI agents) لاختبار البرنامج الذي تعمل عليه شبكة إيثريوم. الهدف؟ البحث عن أخطاء برمجية (bugs) في محاولة مستمرة لجعل أكبر شبكة بلوكتشين (blockchain) من حيث القيمة المقفلة أكثر قوة وأمانًا.

بالفعل، تم اكتشاف بعض الأخطاء. لكن الأمر لم يكن بهذه السهولة. كان لا يزال هناك حاجة إلى تدخل بشري دقيق للتمييز بين الأخطاء الحقيقية وتلك الوهمية (false positives). نشر فريق أمن البروتوكول (Protocol Security team) ملاحظات ميدانية عن نصائح مهمة يجب على مجتمع البلوكتشين الأوسع اتباعها عند استخدامهم لأدوات الذكاء الاصطناعي في مهام مماثلة.

كيف تعمل شبكة إيثريوم؟

تعمل إيثريوم على آلاف من “العقد” (nodes)، وهي أجهزة كمبيوتر عادية تشغل برنامج الشبكة. كل عقدة تحتفظ بنسخة من سلسلة الكتل (chain) وتمرر الرسائل لجاراتها.

توجد طبقة أخرى فوق هذه العقد تسمى “المُدقّقون” (Validators). هؤلاء هم العقد التي تحجز عملة إيثريوم (stake ether) وتصوت على صلاحية الكتل الجديدة. المُدقّقون لا يعملون إلا إذا وصلتهم الرسائل بشكل صحيح.

الخطأ الذي تم اكتشافه

الخطأ الذي وجده المهندسون كان في بروتوكول يسمى gossipsub. هذا العيب (flaw) كان يسمح لنظام خارجي (remote system) بتعطيل العقدة. كيف؟ عن طريق إجبار برنامج العقدة على إجراء عملية حسابية مستحيلة (impossible calculation)، مما يؤدي إلى انهيارها (crash) وإغلاق نفسها بنفسها. هذا يخرج المُدقّق من الخدمة (offline) حتى يعيد مشغله تشغيله يدويًا.

تم إصلاح هذا الخطأ بسرعة ونشر تفاصيله تحت الرقم CVE-2026-34219 مع الإشادة بفريق العمل. لكن المشكلة الأكبر كانت في تصفية الأخطاء الحقيقية التي اكتشفها وكلاء الذكاء الاصطناعي من تلك الوهمية التي بدت حقيقية فقط.

مشكلة التمييز بين الخطأ الحقيقي والوهمي

كتب نيكوس بكسيفانيس، مؤلف التقرير: “المفاجأة كانت أن القليل من الجهد ذهب لاكتشاف الأخطاء، بينما الجهد الأكبر ذهب للتمييز بين الأخطاء الحقيقية وتلك التي تبدو حقيقية فقط”.

سبب الصعوبة يكمن في طبيعة المخرجات. الأداة التقليدية لاكتشاف الأخطاء (fuzzer) تعطي ببساطة انهيارًا (crash) وسجلاً لمكان حدوثه، مما يسمح للمهندس بالتأكد منه في دقائق.

أما وكيل الذكاء الاصطناعي فيعطي قصة كاملة (narrative). يشرح كيف يمكن الوصول إلى العيب، ولماذا هو مهم، ويقترح درجة خطورته (severity rating)، بل ويقدم كودًا برمجيًا يعمل لإثبات الهجوم. كل هذا مكتوب بلغة سلسة واحترافية، ولا يمكن التمييز بين الخطأ الحقيقي والوهمي من النص وحده.

أنواع الأخطاء الوهمية المتكررة

حددت المؤسسة ثلاثة أنواع متكررة من الأخطاء الوهمية (false positives):

  • النوع الأول: انهيار يحدث فقط في نسخة اختبارية (test build) حيث يتم تفعيل فحوصات أمان غير موجودة في البرنامج النهائي الذي يستخدمه الناس.
  • النوع الثاني: هجوم لا يعمل إلا إذا تم إدخال قيمة خطيرة يدويًا في البرنامج، لأن أي طريقة خارجية لتوصيل هذه القيمة تمنعها مسبقًا.
  • النوع الثالث: مشكلة في التحقق الرسمي (formal verification)، وهو أسلوب رياضي لضمان صحة الكود، حيث يمر الدليل بإثبات شيء بسيط جدًا لا يفيد المراجعين.

الأسئلة الشائعة (FAQs)

س1: هل يمكن للذكاء الاصطناعي استبدال مطوري إيثريوم؟
ج1: لا. الذكاء الاصطناعي يساعد في اكتشاف الأخطاء بسرعة، لكنه ينتج أيضًا الكثير من النتائج الوهمية التي تحتاج إلى خبير بشري لفحصها وتأكيدها.

س2: ما هو أخطر خطأ تم اكتشافه في هذه التجربة؟
ج2: الخطير كان في بروتوكول gossipsub، وهو خطأ كان يسمح بتعطيل المُدقّق (validator) وإخراجه من الخدمة حتى يعيد المشغل تشغيله يدويًا.

س3: كيف يمكن التمييز بين الأخطاء الحقيقية والوهمية؟
ج3: لا توجد طريقة آلية حتى الآن. الأخطاء الوهمية تشمل: انهيارات لا تحدث إلا في بيئة الاختبار، وهجمات تتطلب تدخلًا يدويًا، ونتائج من التحقق الرسمي غير مفيدة. تحتاج كل حالة إلى فحص بشري دقيق.

نجم العملات

خبير في التداول الإلكتروني، يقدم رؤى فريدة وتحليلات متجددة لأسواق العملات الرقمية المتغيرة.
زر الذهاب إلى الأعلى