La semaine dernière, l'intelligence artificielle a été blâmée pour avoir écrit un logiciel crypto comportant des bogues. Cette semaine, elle a été créditée d'avoir trouvé un bogue avant qu'il ne puisse être exploité.
Octane Security, une entreprise de sécurité décrite comme « native à l'IA », a déclaré mercredi que son outil d'IA avait trouvé un bogue de haute gravité dans Nethermind, un logiciel qui fait fonctionner la blockchain Ethereum.
Nethermind a corrigé le bogue avant qu'il ne puisse être exploité, a déclaré Octane. Près de 40 % des validateurs Ethereum utilisent Nethermind, et une exploitation aurait pu les amener à manquer des blocs, affectant la vivacité et la disponibilité d'Ethereum.
« C'est l'une des démonstrations les plus risquées à ce jour de la recherche de vulnérabilités dirigée par l'IA », a déclaré Giovanni Vignone, fondateur et PDG d'Octane Security, dans un communiqué.
« L'IA a considérablement accéléré la recherche de vulnérabilités. Les hypothèses de bogues, la vérification des exploits et les rapports de qualité production peuvent désormais se faire 10 fois plus vite, ce qui réécrit le modèle de menace pour chaque organisation mettant du code sur la chaîne. »
L'annonce d'Octane survient juste cinq jours après que la société d'IA Anthropic a secoué les actions de cybersécurité avec un nouvel outil de sécurité qui « scanne les bases de code pour les vulnérabilités de sécurité et suggère des correctifs logiciels ciblés pour révision humaine. »
Moonwell
L'IA a pris d'assaut le monde de la technologie, permettant aux ingénieurs logiciels expérimentés d'écrire du code plus rapidement que jamais. Dans la crypto, elle a alimenté l'idée d'une IA agentique où des programmes effectuent des échanges indépendamment des êtres humains.
Mais cela a également attisé les préoccupations.
Cette semaine, un rapport de Citrini Research a secoué Wall Street en envisageant un avenir où l'IA a remplacé les travailleurs humains et a anéanti l'économie mondiale. Le S&P a chuté de plus de 1 % lundi en conséquence.
Même les développeurs d'IA s'inquiètent des applications militaires potentielles de leurs créations, comme le montre le conflit d'Anthropic avec la Maison Blanche.
Et l'IA a déclenché des craintes que la technologie puisse être utilisée pour briser la cybersécurité.
Certains s'inquiètent de la possibilité que cela puisse donner du pouvoir aux hackers. D'autres craignent que les ingénieurs ne deviennent trop dépendants du code écrit par l'IA et ne publient des logiciels bogués.
Cette préoccupation s'est concrétisée plus tôt ce mois-ci, lorsqu'un bogue dans le code généré par l'IA a coûté aux utilisateurs du protocole crypto Moonwell près de 2,7 millions de dollars en crypto. Un ingénieur logiciel de Moonwell a déclaré que le code en question avait passé un audit de la société de sécurité crypto Halborn.
« Le codage IA deviendra de plus en plus répandu, et l'adoption croissante du codage de vibe reste une des raisons pour lesquelles un plus grand investissement dans la conception, la modélisation des menaces, les méthodes formelles, le fuzzing et la surveillance 24/7 sont des étapes critiques pour chaque équipe web3 à suivre », a déclaré Seth Hallem, PDG de la société de sécurité crypto Certora, à DL News après l'incident Moonwell.
L'expérience d'Octane suggère que les investissements pourraient de plus en plus se diriger vers l'IA.
Dans la perspective du lancement de la mise à niveau d'Ethereum Fusaka l'année dernière, Octane a rejoint un concours d'audit sponsorisé par Gnosis et Lido. Le concours a récompensé les chercheurs en sécurité pour avoir trouvé des bogues dans Nethermind et les autres soi-disant clients qui exécutent Ethereum.
Octane s'est associé à un chercheur en sécurité pseudonyme, Guhu, qui a examiné les bogues potentiels signalés par l'IA de la société.
Octane et Guhu ont soumis 17 problèmes, dont 16 ont été corrigés par les équipes clientes. Neuf ont été considérés comme graves, et parmi ceux-ci, « six sont considérés comme uniques », a déclaré la société. Ils ont finalement terminé quatrièmes du concours, gagnant 70 633 $ en récompenses.
Ils ont également soumis le bogue de Nethermind à un programme de récompense de bogue géré par la Fondation Ethereum.
Selon Octane, un hacker pourrait saboter les validateurs exécutant Nethermind en soumettant une « transaction malformée ».
« Cela aurait pu provoquer des slots manqués prolongés chez tous les proposeurs basés sur Nethermind tant que la transaction malformée est restée dans le pool », a déclaré la société.
« L'exploitation aurait retiré cette capacité du réseau, causant aux validateurs affectés de manquer des récompenses de bloc, d'encourir des pénalités de fuite d'inactivité et de dégrader la vivacité et la disponibilité globales du réseau. »
Le bogue n'a jamais été exploité et a été rapidement corrigé. La Fondation Ethereum a attribué à Octane une récompense de bogue de 50 000 $, a déclaré la société.
« Si vous n'utilisez pas l'IA pour trouver et corriger continuellement des défauts, vous êtes en concurrence avec les blackhats qui le font », a déclaré Vignone.
Aleks Gilbert est le correspondant DeFi de DL News basé à New York. Vous pouvez le contacter à aleks@dlnews.com.