2026-07-11 20:53:31Ethereum Foundation ใช้ AI ไล่บั๊กในซอฟต์แวร์ เผยช่องโหว่ทำให้ Validator หลุดออฟไลน์ได้ สรุปภาพรวมตลาดด้วย AIวิศวกรความปลอดภัยของ Ethereum Foundation ใช้เอเจนต์ AI เพื่อระบุและแก้ไขบั๊กที่ทำให้ gossipsub ล่ม (CVE202634219) ซึ่งอาจทำให้โหนดผู้ตรวจสอบความถูกต้อง (validator) ถูกทำให้ออฟไลน์จากระยะไกลได้จนกว่าจะรีสตาร์ต การแก้ไขนี้ช่วยลดความเสี่ยงด้านการปฏิบัติการในส่วนหาง (tail risk) แต่ประเด็นที่ใหญ่กว่าคือเชิงระเบียบวิธี: รายงานบั๊กที่ขับเคลื่อนด้วย AI อาจน่าเชื่อถืออย่างมากแต่ผิดได้ ทำให้ภาระงานการทบทวนเพิ่มขึ้น และตอกย้ำถึงการตรวจสอบความถูกต้องอย่างเข้มงวด โดยเฉพาะสำหรับลำดับการโจมตีหลายขั้นตอนที่พบได้บ่อยในเหตุโจมตี DeFi ล่าสุดระดับผลกระทบ ● ต่ำสินทรัพย์ที่ได้รับผลกระทบETH/USDT+1.73%ข้อมูลเชิงลึกจาก AI · ETH/USDTข้อมูลเชิงลึกจาก AI● Neutralเทรดตอนนี้เทรดตอนนี้ →⚠️ ข้อความเชิงลึกนี้สร้างขึ้นโดย AI โดยอ้างอิงจากเนื้อหาข่าวเพื่อใช้เป็นข้อมูลอ้างอิงเท่านั้น ไม่ถือเป็นคำแนะนำในการลงทุนหรือสะท้อนทัศนะของ BingX การลงทุนมีความเสี่ยง โปรดซื้อขายด้วยความระมัดระวังนักพัฒนาของ Ethereum Foundation ปล่อยเอเจนต์ AI ให้ช่วยตรวจหาช่องโหว่ในซอฟต์แวร์ที่เครือข่าย Ethereum ใช้งาน โดยเป็นส่วนหนึ่งของความพยายามยกระดับความปลอดภัยของบล็อกเชนที่มีมูลค่า Total Value Locked สูงสุด แม้ AI จะช่วยเจอบั๊กได้จริง แต่ทีมยังย้ำว่าต้องอาศัยการตัดสินใจของมนุษย์อย่างละเอียดเพื่อแยก "บั๊กจริง" ออกจาก "ผลลวง" พร้อมเผยบันทึกภาคสนามจากทีม Protocol Security เพื่อเป็นแนวทางให้ระบบนิเวศนำไปใช้กับเวิร์กโฟลว์ AI ของตนเอง Ethereum ทำงานผ่านโหนดจำนวนหลายพันเครื่อง ซึ่งเป็นคอมพิวเตอร์ทั่วไปที่รันซอฟต์แวร์เครือข่าย เก็บสำเนาบล็อกเชน และส่งต่อข้อความให้โหนดใกล้เคียง ส่วน Validator คือโหนดที่นำ ether ไปสเตกและโหวตความถูกต้องของบล็อก ซึ่งจะทำงานได้ก็ต่อเมื่อข้อความถูกส่งถึงอย่างต่อเนื่อง ช่องโหว่ที่ทีมพบอยู่ใน gossipsub โดยข้อบกพร่องดังกล่าวเปิดทางให้ระบบจากระยะไกลกระตุ้นให้โหนดแครชได้ เมื่อซอฟต์แวร์เจอการคำนวณที่เป็นไปไม่ได้ก็จะหยุดทำงานและปิดตัวเอง ส่งผลให้ Validator หลุดออฟไลน์จนกว่าผู้ดูแลจะรีสตาร์ต โครงการแก้ไขและเปิดเผยช่องโหว่อย่างรวดเร็วภายใต้รหัส 'CVE202634219' พร้อมให้เครดิตทีมผู้ค้นพบ ประเด็นที่ Foundation กังวลมากกว่าคือการคัดแยกระหว่างบั๊กจริงกับเคสที่เอเจนต์ AI รายงานอย่างมั่นใจทั้งที่ไม่ใช่บั๊กจริง Nikos Baxevanis ผู้เขียนโพสต์ระบุว่า สิ่งที่คาดไม่ถึงคือใช้แรงน้อยมากในการ "หา" บั๊ก แต่ใช้แรงมากในการ "แยกแยะ" ว่าอันไหนจริงและอันไหนเหมือนจริง ความยากเริ่มจากลักษณะผลลัพธ์ที่เอเจนต์ส่งกลับมา เครื่องมือมาตรฐานอย่าง fuzzer ซึ่งโยนข้อมูลผิดรูปแบบใส่ซอฟต์แวร์จนเกิดความเสียหาย มักคืนค่าเป็นเหตุการณ์แครชและจุดที่เกิด ทำให้วิศวกรยืนยันได้ภายในไม่กี่นาที แต่เอเจนต์ AI จะส่งกลับมาเป็น "เรื่องเล่า" ที่ประกอบด้วยเส้นทางการเข้าถึงข้อบกพร่อง เหตุผลว่าทำไมจึงสำคัญ ข้อเสนอระดับความรุนแรง และโค้ดตัวอย่างที่อ้างว่าใช้โจมตีได้ ทั้งหมดถูกเขียนเป็นร้อยแก้วลื่นไหล ทำให้อ่านไม่ออกว่าเป็นบั๊กจริงหรือแต่งขึ้น Foundation ระบุว่ามีผลลวงเกิดซ้ำ 3 รูปแบบ แบบแรกคือแครชที่เกิดได้เฉพาะในรุ่นทดสอบ เพราะคอมไพเลอร์เปิด safety checks ที่ซอฟต์แวร์ที่ปล่อยใช้งานจริงไม่มี จึงไม่กระทบผู้ใช้จริง แบบที่สองคือการโจมตีที่ทำได้ก็ต่อเมื่อมีคนใส่ค่าที่อันตรายเข้าไปในโปรแกรมด้วยมือ เนื่องจากทุกช่องทางที่คนนอกใช้ส่งค่านั้นเข้ามาจะถูกปฏิเสธก่อน แบบที่สามมาจาก formal verification หรือการพิสูจน์ทางคณิตศาสตร์ว่าโค้ดทำงานถูกต้อง ซึ่งบางครั้งบทพิสูจน์ผ่านด้วยการยืนยันสิ่งที่จริงแบบผิวเผินและไม่ได้บอกอะไรเกี่ยวกับพฤติกรรมของซอฟต์แวร์ ทั้งสามแบบเป็นการทดสอบที่แทบไม่ได้ทดสอบอะไร และเอเจนต์สามารถเขียนรายงานที่ "ว่างเปล่า" ได้รวดเร็วและน่าเชื่อพอ ๆ กับรายงานที่ถูกต้อง อีกข้อจำกัดคือเอเจนต์มักเก่งกับการให้เหตุผลในเหตุการณ์จุดเดียว แต่ยังอ่อนกับบั๊กที่เกิดจาก "ลำดับขั้นตอน" ซึ่งแต่ละขั้นดูถูกต้อง แต่การเรียงลำดับนำไปสู่ผลร้าย นี่เป็นลักษณะของเอ็กซ์พลอยต์จำนวนมากที่ทำให้โปรโตคอลคริปโตสูญเงินในปีนี้ โดยผู้โจมตีใช้เครื่องมือทางเทคนิคที่ดูปกติทีละชิ้น แต่ซ่อนการขโมยไว้ในลำดับของหลายขั้นตอนที่คุ้นเคย กรณีโจมตีล่าสุดก็เข้ากรอบนี้ เช่น เหตุการณ์ Edel Finance ต้นเดือนที่เลี่ยงการอ้างอิงราคาจาก Chainlink ที่ถูกต้องผ่านเลเยอร์การ wrap ที่อยู่ด้านบน และเคสโจมตี governance ของ BONK ที่การซื้อโทเคน การโหวต และการ execute ข้อเสนอที่ผ่าน เป็นทรานแซกชันธรรมดาทั้งหมดเมื่อมองแยกกัน แนวทางของ Foundation คือให้เอเจนต์ช่วยเสนอว่าลำดับใดควรถูกทดสอบ แล้วดำเนินการทดสอบจริงต่อไป โดยไม่ยึดรายงานของ AI เป็นข้อสรุปสุดท้าย ที่มาข้อจำกัดความรับผิดชอบ: เนื้อหาข้างต้นเป็นเพียงความคิดเห็นของผู้เขียนเท่านั้น และไม่ถือเป็นจุดยืนของ BingX และไม่ถือเป็นคำแนะนำการลงทุนจาก BingX ดูรายละเอียดเพิ่มเติมได้ที่ ข้อกำหนดและเงื่อนไข