L’intelligenza artificiale può accelerare la ricerca di vulnerabilità informatiche, ma non è ancora in grado di sostituire completamente l’esperienza degli sviluppatori. Lo dimostra un recente esperimento della Ethereum Foundation, che ha impiegato una serie di agenti AI per analizzare il software utilizzato dai validatori della blockchain. Il risultato è stato significativo: è stata individuata una vulnerabilità reale capace di provocare il crash di un nodo da remoto, successivamente corretta e catalogata come CVE-2026-34219. Allo stesso tempo, però, gli strumenti basati sull’AI hanno generato numerose segnalazioni convincenti che si sono rivelate prive di fondamento, confermando quanto il controllo umano resti fondamentale.
Come l’intelligenza artificiale ha trovato il bug
La Ethereum Foundation ha deciso di affidare agli agenti di intelligenza artificiale il compito di analizzare il software su cui si basa il funzionamento della rete Ethereum, con particolare attenzione al sistema di messaggistica gossipsub, utilizzato dai nodi per scambiarsi informazioni.
Durante le verifiche è emersa una vulnerabilità reale: un sistema remoto avrebbe potuto provocare il crash del software di un nodo sfruttando una particolare condizione di errore. In questo caso il programma interrompe l’esecuzione e il nodo va offline, rendendo inattivo anche il relativo validatore fino all’intervento manuale di un operatore.
La falla è corretta rapidamente e resa pubblica con l’identificativo CVE-2026-34219, ma il lavoro dei ricercatori non si è fermato qui. Il problema più impegnativo è infatti distinguere i bug autentici dalle numerose segnalazioni errate prodotte dagli agenti AI.
Secondo Nikos Baxevanis, autore del resoconto tecnico pubblicato dalla Foundation, la vera sorpresa non è stata tanto trovare la vulnerabilità, quanto separare quelle reali da quelle che sembravano credibili ma non lo erano.
Validatori Ethereum e il problema dei falsi positivi
Ethereum si basa su migliaia di nodi distribuiti in tutto il mondo, ognuno dei quali conserva una copia della blockchain e comunica costantemente con gli altri partecipanti della rete. Sopra questa infrastruttura operano i validatori, che mettono in staking gli ether e partecipano alla validazione dei nuovi blocchi.
Se un validatore smette di ricevere correttamente i messaggi oppure il software va in crash, la sua attività si interrompe fino al riavvio. Per questo motivo una vulnerabilità di questo tipo rappresenta un rischio concreto per la stabilità della rete.
L’esperimento ha però evidenziato anche un altro limite dell’intelligenza artificiale: la produzione di falsi positivi estremamente convincenti. A differenza dei tradizionali strumenti di fuzzing, che mostrano semplicemente dove si verifica un crash, gli agenti AI costruiscono una spiegazione completa, indicando il presunto percorso dell’attacco, la gravità del problema e perfino il codice necessario per dimostrarlo. Tutto appare plausibile anche quando la vulnerabilità, in realtà, non esiste.
La Foundation ha individuato tre categorie ricorrenti di errori: crash che si verificavano esclusivamente nelle versioni di test del software, attacchi teoricamente possibili ma impossibili da eseguire dall’esterno perché i controlli li bloccavano preventivamente e dimostrazioni matematiche formalmente corrette ma prive di reale valore pratico per valutare la sicurezza del codice.
Il ruolo decisivo della verifica umana
Proprio per questi motivi gli sviluppatori sottolineano che il contributo umano continua a essere indispensabile. Ogni segnalazione generata dall’intelligenza artificiale deve essere verificata attentamente prima di essere considerata una vulnerabilità effettiva.
Un’altra criticità emersa riguarda la difficoltà degli agenti AI nel riconoscere gli attacchi costruiti attraverso una sequenza di operazioni apparentemente legittime. Molti degli exploit che hanno colpito i protocolli crypto negli ultimi mesi non dipendevano infatti da un singolo errore, ma dall’ordine con cui diverse azioni perfettamente valide venivano combinate.
La Ethereum Foundation cita esempi recenti, come gli attacchi a Edel Finance e alla governance di BONK, nei quali ogni singola operazione risultava regolare presa isolatamente, mentre era la loro successione a produrre l’effetto dannoso.
Per il futuro la strategia sembra quindi orientata verso un modello ibrido, nel quale gli agenti AI suggeriscono gli scenari più interessanti da verificare, mentre gli ingegneri eseguono i test, interpretano i risultati e confermano le vulnerabilità reali. L’obiettivo non è sostituire gli esperti, ma utilizzare l’intelligenza artificiale come uno strumento capace di accelerare il lavoro, mantenendo però il giudizio umano al centro delle decisioni che riguardano la sicurezza della blockchain.
Fonte: CoinDesk