La Fondation Ethereum lâche des agents IA sur son propre code
La Fondation Ethereum vient de publier l’un des comptes rendus les plus francs à ce jour sur ce qui se passe lorsque l’on met en œuvre des agents d’IA coordonnés au sein d’une infrastructure blockchain en production. En bref: les agents ont fonctionné. Ce qui s’est passé ensuite s’est avéré bien plus complexe.
Que s’est-il réellement passé?
Dans un article publié le 9 juillet par l’équipe de sécurité des protocoles de la Fondation, le chercheur Nikos Baxevanis a expliqué comment l’équipe avait passé des mois à faire fonctionner des flottes d’agents IA contre les systèmes dont dépend Ethereum: code réseau, bibliothèques cryptographiques et contrats à haute sécurité. L’un des résultats est désormais public: une situation de panique pouvant être déclenchée à distance dans gossipsub, la couche de messagerie peer-to-peer sur laquelle tous les clients de consensus Ethereum s’appuient pour propager les blocs et les attestations. Ce problème a été corrigé et répertorié sous le numéro CVE-2026-34219.
Selon des informations externes, le bogue se trouvait dans le gestionnaire d’expiration du backoff de PRUNE: un pair pouvait envoyer un message de contrôle spécialement conçu avec une valeur de backoff proche du maximum, déclenchant ainsi un calcul temporel non vérifié qui provoquait un débordement et faisait planter le nœud; un attaquant pouvait alors répéter ce plantage indéfiniment, pratiquement sans aucun coût. Le NVD lui aurait attribué une note de 8,2 (Élevé); il s’agit du deuxième bug de ce type lié à la gestion du backoff dans deux versions consécutives de libp2p, après le CVE-2026-33040 dans la version précédente.
Mais la principale conclusion de l’équipe n’était pas que les agents pouvaient détecter des failles, mais plutôt le peu d’efforts nécessaires pour les trouver, et l’importance du travail consacré à distinguer les véritables failles de celles qui semblaient réelles. Leur pipeline exécute plusieurs agents en parallèle, sans coordinateur central, en transmettant l’état via le dépôt Git lui-même: les agents de reconnaissance transforment les surfaces d’attaque en hypothèses testables, les chasseurs les traquent et tentent de les reproduire, les « gap-fillers » (combleurs de lacunes) répertorient ce qui a déjà été écarté, et les validateurs revérifient de manière indépendante chaque candidat avant qu’il ne soit considéré comme une découverte. Rien ne peut être considéré comme un véritable bug tant qu’il n’existe pas de programme de reproduction autonome fonctionnant sur le code de production réel, et non sur une version de débogage, ni sur une valeur interne fabriquée de toutes pièces qu’aucun attaquant réel ne pourrait produire.
La Fondation n’est pas la seule à avoir adopté cette architecture. L’article souligne que la « Frontier Red Team » d’Anthropic a développé un agent similaire pour les tests basés sur les propriétés au sein de l’écosystème Python, et que Cloudflare a utilisé des outils de « red teaming » comparables sur ses propres systèmes, tous convergeant vers la même boucle « reconnaissance > chasse > validation ».
L’adoption de l’IA dans le secteur de la cryptographie va au-delà de la recherche en sécurité
Cette révélation s’inscrit dans le cadre d’une évolution bien plus vaste déjà en cours dans l’ensemble du secteur:
- le rapport du premier semestre 2026 de CertiK estime les pertes dans le secteur de la crypto à environ 1,32 milliard de dollars pour 344 incidents, et des entreprises comme Cyfrin et Olympix effectuent désormais des contrôles basés sur l’IA en continu pendant le développement, plutôt que dans le cadre d’une vérification ponctuelle avant le lancement. Manuel Aráoz, cofondateur d’OpenZeppelin, est allé plus loin sur X, affirmant que les agents de codage basés sur l’IA ont atteint une capacité surhumaine de détection des vulnérabilités et que cela laisse une grande partie de la DeFi structurellement exposée — une affirmation qui a largement circulé après avoir été publiée par Wu Blockchain en mai.
- La mise à jour EIP-7702 d’Ethereum permet à un compte standard d’accorder temporairement des autorisations limitées en portée et dans le temps à un agent autonome — ce qui permet à ces agents d’effectuer des transactions, de rééquilibrer les réserves ou de payer des ressources de calcul sans jamais toucher à la clé privée d’un utilisateur.
- Les données du secteur citées par plusieurs rapports de marché de 2026 suggèrent qu’une grande partie des services institutionnels dédiés aux cryptomonnaies sont passés de l’utilisation de modèles de langage de grande envergure (LLM) pour l’analyse à l’exploitation de systèmes multi-agents qui surveillent les marchés et exécutent directement les opérations.
- Les recherches menées par Anthropic (citées dans le contexte plus large de la Fondation) ont révélé que le taux de réussite des exploits menés par des agents contre de véritables vulnérabilités historiques de contrats intelligents avait fortement augmenté au cours de l’année écoulée lors de tests de référence, ce qui rappelle que ces mêmes outils peuvent être à double tranchant.
Conclusion
Ce que décrit la Fondation Ethereum, ce n’est pas le remplacement des chercheurs en sécurité par l’IA, mais le déplacement du goulot d’étranglement. Les agents permettent à l’équipe de couvrir un champ d’action bien plus vaste que ne le permettrait jamais une révision manuelle, mais en contrepartie, ils exigent un jugement humain bien plus rigoureux face à une masse bien plus importante d’affirmations qui semblent fiables. À mesure que l’audit assisté par l’IA se généralise dans l’écosystème, depuis les infrastructures au niveau des protocoles comme libp2p jusqu’aux contrats DeFi individuels, le véritable défi du secteur en 2026 ne sera plus tant de savoir si « l’IA peut détecter le bug », mais plutôt si « les humains peuvent suivre le rythme pour vérifier ce qu’elle détecte ».
5% de bonus de dépôt jusqu'à 100 gemmes

0% de frais sur les dépôts et les retraits de peau.


11% de Bonus de Dépôt + FreeSpin
10% DE BONUS SUPPLÉMENTAIRE SUR DÉPÔT + 2 TOURS DE ROUE GRATUITS
Cas gratuit et 100% de bonus de bienvenue
5 étuis gratuits, gratuité et bonus quotidiens

3 mallettes gratuites et un bonus de 5% ajouté à tous les dépôts en espèces.

+5% sur le dépôt


Commentaires