एथेरियम फाउंडेशन (EF) ने हाल ही में साझा किया है कि कृत्रिम बुद्धिमत्ता (AI) अब एथेरियम प्रोटोकॉल सॉफ्टवेयर के भीतर सुरक्षा संबंधी कमियों को पहचानने के लिए एक अत्यंत प्रभावी उपकरण साबित हो रही है। इस तकनीक के उपयोग से सुरक्षा शोधकर्ताओं को पहले से कहीं अधिक कोड का विश्लेषण करने की क्षमता मिली है। हालांकि, फाउंडेशन ने स्पष्ट किया है कि AI द्वारा बताई गई हर समस्या को सुरक्षा उल्लंघन नहीं माना जा सकता और किसी भी निष्कर्ष को स्वीकार करने से पहले एक विस्तृत इंसानी समीक्षा प्रक्रिया से गुजरना आवश्यक है।
AI से मिली सुरक्षा शोध में नई गति
प्रोटोकॉल सिक्योरिटी टीम ने दिखाया है कि कैसे AI एजेंट प्रोटोकॉल के बुनियादी ढांचे में छिपी खामियों को उजागर कर सकते हैं। इसका एक ठोस उदाहरण libp2p के Gossipsub नेटवर्किंग प्रोटोकॉल में पाई गई समस्या है। यह नेटवर्क का एक महत्वपूर्ण हिस्सा है जिसका उपयोग एथेरियम सर्वसम्मति क्लाइंट करते हैं। इस खामी को दूरस्थ रूप से ट्रिगर किया जा सकता था, जिसे बाद में पैच कर दिया गया और सार्वजनिक रूप से CVE-2026-34219 के रूप में सूचित किया गया। इसका श्रेय सीधे तौर पर प्रोटोकॉल सिक्योरिटी टीम को दिया जाता है।
भ्रामक अलर्ट और वास्तविक खामियों की पहचान
फाउंडेशन के लिए सबसे हैरान करने वाली बात यह नहीं थी कि AI खामियों को ढूंढ पा रहा है, बल्कि यह थी कि सारा काम खामी खोजने में नहीं, बल्कि यह तय करने में खर्च हो रहा है कि कौन सी खामी असली है और कौन सी केवल वैसी दिख रही है। संगठन के मुताबिक, AI एजेंटों द्वारा जनरेट किए गए आउटपुट अक्सर पारंपरिक फज़िंग टूल्स की तुलना में बहुत अधिक विस्तृत होते हैं। इनमें न केवल क्रैश रिपोर्ट और स्टैक ट्रेस, बल्कि संभावित एक्सप्लॉइट पथ, गंभीरता का आकलन और प्रूफ-ऑफ-कांसेप्ट कोड भी शामिल होते हैं।
फाउंडेशन ने चेतावनी दी है कि AI द्वारा रिपोर्ट किए गए सुरक्षा मुद्दों की संख्या को सफलता का पैमाना नहीं मानना चाहिए। उनका जोर इस बात पर है कि यह गणना न करें कि एक एजेंट ने कितने संभावित मुद्दे तैयार किए हैं, बल्कि यह देखें कि उनमें से वास्तव में कितने सही साबित हुए हैं।
सहयोगात्मक कार्यप्रणाली और सख्त सत्यापन
विश्वसनीयता बढ़ाने के लिए, प्रोटोकॉल सिक्योरिटी टीम एक ही कोडबेस पर कई AI एजेंटों को एक साथ तैनात करती है। हर एजेंट को टोही (reconnaissance), वल्नरेबिलिटी हंटिंग, वैलिडेशन और कवरेज एनालिसिस जैसे विशिष्ट कार्य सौंपे जाते हैं। ये एजेंट किसी केंद्रीय समन्वयक पर निर्भर रहने के बजाय साझा रिपॉजिटरी और वर्जन कंट्रोल के माध्यम से एक-दूसरे के काम को आगे बढ़ाते हैं और स्वतंत्र रूप से निष्कर्षों की पुष्टि करते हैं।
एथेरियम फाउंडेशन का स्पष्ट नियम है कि किसी भी सुरक्षा मुद्दे को तब तक वैध नहीं माना जाएगा जब तक उसे वास्तविक प्रोडक्शन कोड पर चलने वाले सेल्फ-कंटेंड प्रूफ-ऑफ-कांसेप्ट का उपयोग करके दोहराया न जा सके। फाउंडेशन का मानना है कि कृत्रिम परीक्षण वातावरण में परीक्षण पर्याप्त नहीं है।
गलत निष्कर्षों के सामान्य कारण
फाउंडेशन ने उन स्थितियों की पहचान की है जहाँ AI से 'फॉल्स पॉजिटिव' या गलत अलर्ट मिलते हैं। इसमें वे क्रैश शामिल हैं जो केवल डिबग बिल्ड्स में ही होते हैं, ऐसे प्रूफ-ऑफ-कांसेप्ट जो असंभव निष्पादन पथों पर आधारित हैं, और औपचारिक सत्यापन प्रमाण जो तकनीकी रूप से पास तो हो जाते हैं लेकिन इच्छित सुरक्षा गुणों को मान्य करने में विफल रहते हैं।
अंततः, AI द्वारा जनरेट किए गए अधिकांश निष्कर्ष या तो गलत होते हैं, या वे डुप्लिकेट होते हैं, या फिर वे ऑडिट के दायरे से बाहर होते हैं। हर एक उम्मीदवार निष्कर्ष को स्वतंत्र सत्यापन प्रक्रिया से गुजरना पड़ता है ताकि यह निर्धारित किया जा सके कि क्या वह वास्तव में शोषण योग्य है और क्या उसका संभावित प्रभाव इतना गंभीर है कि उस पर आगे की कार्रवाई या सार्वजनिक प्रकटीकरण की आवश्यकता है। हालांकि AI कोड की जांच के दायरे को बढ़ाता है, लेकिन मानवीय निगरानी ही वह निर्णायक कारक बनी हुई है जो अंततः यह तय करती है कि क्या वास्तविक है और किस पर कदम उठाने की आवश्यकता है।











