A Fundação Ethereum solta agentes de IA para testarem o seu próprio código
A Fundação Ethereum acaba de publicar um dos relatos mais sinceros até à data sobre o que acontece quando se direcionam agentes de IA coordenados para uma infraestrutura de blockchain em produção. Resumindo: os agentes funcionaram. A descoberta mais difícil foi tudo o que se seguiu.
O que aconteceu realmente?
Numa publicação de 9 de julho da equipa de Segurança de Protocolos da Fundação, o investigador Nikos Baxevanis explicou como a equipa passou meses a testar frotas de agentes de IA contra os sistemas dos quais o Ethereum depende — código de rede, bibliotecas criptográficas e contratos de alta segurança. Um dos resultados já foi divulgado: uma situação de pânico que pode ser desencadeada remotamente no «gossipsub», a camada de mensagens ponto a ponto da qual todos os clientes de consenso da Ethereum dependem para propagar blocos e atestados. A falha já foi corrigida e divulgada como CVE-2026-34219.
De acordo com relatos externos, a falha residia no manipulador de expiração do backoff do PRUNE: um par poderia enviar uma mensagem de controlo manipulada com um valor de backoff próximo do máximo, desencadeando uma operação aritmética de tempo não verificada que provocava um estouro de memória e fazia o nó falhar, e um atacante poderia repetir a falha indefinidamente, praticamente sem qualquer custo. Segundo consta, o NVD atribuiu-lhe uma pontuação de 8,2 (Alta), sendo este o segundo bug deste tipo relacionado com o tratamento do backoff em versões consecutivas da libp2p, a seguir ao CVE-2026-33040, na versão anterior.
Mas a principal conclusão da equipa não foi o facto de os agentes conseguirem encontrar falhas, mas sim o quão pouco esforço foi necessário para as encontrar e o quanto foi necessário para distinguir as falhas reais daquelas que apenas pareciam reais. O seu fluxo de trabalho executa vários agentes em paralelo, sem um coordenador central, transmitindo o estado através do próprio repositório Git: os agentes de reconhecimento transformam superfícies de ataque em hipóteses testáveis, os caçadores rastreiam-nas e tentam reproduzi-las, os preenchedores de lacunas acompanham o que já foi descartado e os validadores verificam novamente, de forma independente, cada candidato antes de este ser considerado uma descoberta. Nada se qualifica como um bug real até que exista um reprodutor autónomo que funcione com o código efetivamente lançado, e não com uma compilação de depuração, nem com um valor interno criado manualmente que nenhum atacante real conseguiria produzir.
A Fundação não está sozinha na adoção desta arquitetura. A publicação refere que a Frontier Red Team da Anthropic criou um agente semelhante para testes baseados em propriedades em todo o ecossistema Python, e a Cloudflare executou conjuntos de ferramentas de red teaming comparáveis contra os seus próprios sistemas, todos convergindo para o mesmo ciclo de reconhecimento > caça > validação.
A adoção da IA no setor da criptografia vai além da investigação em segurança
Esta revelação insere-se numa mudança muito maior já em curso em todo o setor:
- O relatório do primeiro semestre de 2026 da CertiK estimou as perdas no setor das criptomoedas em cerca de 1,32 mil milhões de dólares, distribuídas por 344 incidentes, e empresas como a Cyfrin e a Olympix estão agora a realizar verificações baseadas em IA de forma contínua durante o desenvolvimento, em vez de uma revisão única antes do lançamento. O cofundador da OpenZeppelin, Manuel Aráoz, foi mais longe no X, argumentando que os agentes de codificação baseados em IA alcançaram uma capacidade sobre-humana de deteção de vulnerabilidades e que isso deixa grande parte da DeFi estruturalmente exposta — uma afirmação que circulou amplamente depois de a Wu Blockchain a ter publicado em maio.
- A atualização EIP-7702 da Ethereum permite que uma conta padrão conceda temporariamente permissões específicas e limitadas no tempo a um agente autónomo — permitindo que os agentes negociem, reequilibrem as reservas ou paguem por recursos computacionais sem nunca terem acesso à chave privada do utilizador.
- Dados do setor citados por vários relatórios de mercado de 2026 sugerem que uma grande parte das mesas de cripto institucionais passou de utilizar modelos de linguagem de grande escala (LLMs) para análise para operar sistemas multiagentes que monitorizam os mercados e executam transações diretamente.
- A própria investigação da Anthropic (citada no contexto mais alargado da Fundação) revelou que o sucesso de explorações impulsionadas por agentes contra vulnerabilidades históricas reais de contratos inteligentes aumentou acentuadamente ao longo do último ano em testes de referência, um lembrete de que as mesmas ferramentas podem ser uma faca de dois gumes.
Conclusão
O que a Fundação Ethereum descreve não é a IA a substituir os investigadores de segurança, mas sim a mudança do ponto de estrangulamento. Os agentes permitem à equipa abranger muito mais terreno do que a revisão manual alguma vez poderia, mas, em troca, exigem um julgamento humano muito mais cuidadoso face a uma pilha muito maior de alegações que parecem convincentes. À medida que a auditoria assistida por IA se torna padrão em todo o ecossistema, desde infraestruturas ao nível do protocolo, como a libp2p, até contratos DeFi individuais, o verdadeiro desafio do setor em 2026 parece menos «será que a IA consegue encontrar o bug» e mais «será que os humanos conseguem acompanhar a verificação do que ela encontra».
Bónus de depósito de 5% até 100 gemas

0% de taxas sobre depósitos e levantamentos de pele.


Bónus de Depósito de 11% + FreeSpin
BÓNUS DE DEPÓSITO EXTRA DE 10% + 2 RODADAS GRÁTIS
Caso grátis e bónus de boas-vindas de 100%
5 caixas gratuitas, diárias gratuitas e bónus

3 caixas grátis e um bónus de 5% adicionado a todos os depósitos em dinheiro.

+5% para depósito


Comentários