PyoSignal Logo
PyoSignal
Back to Daily News
CoinDesk AI & LLM

AI found an Ethereum bug that could take validators offline, but humans had to prove it - CoinDesk

2026년 7월 11일 오후 12:42 원문 보기
Protocol Security Smart Contract AI Agent AI Cybersecurity

📝 한국어 요약

Ethereum Foundation의 개발자들이 AI Agent를 활용해 프로토콜 보안 취약점을 탐색하던 중, 실제 검증 가능한 버그와 정교한 False Positive(가짜 양성)를 구분하는 데 있어 인간의 판단이 필수적임을 확인했습니다. 이번 사례는 AI가 생성한 논리적 서사가 실제 취약점과 구별하기 어려울 정도로 정교해짐에 따라, 새로운 보안 워크플로우의 필요성을 시사합니다.

🧠 기술적 의미

AI Agent는 단순한 Fuzzer(소프트웨어의 결함을 찾기 위해 무작위 데이터를 주입하는 도구)와 달리, 취약점의 경로, 심각도, 공격 코드를 포함한 완벽한 '서사(Narrative)'를 생성하여 인간을 혼란에 빠뜨립니다. 발견된 CVE-2026-34219 버그는 gossipsub 프로토콜에서 원격 시스템이 노드를 다운시킬 수 있는 취약점이었으나, AI가 생성한 가짜 버그들은 테스트 빌드 전용 코드나 논리적 순서가 결여된 가짜 증명을 포함하고 있었습니다. 이에 따라 Foundation은 AI가 제안한 시퀀스를 기반으로 실제 테스트를 수행하는 하이브리드 검증 방식을 채택하고 있습니다.

🔑 핵심 포인트

  • AI Agent는 취약점의 원인부터 공격 코드까지 포함된 유창한 서사를 생성하므로, 인간 엔지니어가 실제 버그와 정교한 False Positive를 구분하는 데 막대한 리소스가 소모됩니다.
  • 주요 False Positive 유형으로는 컴파일러 설정 차이로 인한 테스트 빌드 전용 크래시, 외부 접근이 불가능한 내부 값 조작, 그리고 의미 없는 수학적 증명(Formal Verification) 오류가 있습니다.
  • AI는 단일 시점의 논리적 추론에는 강하지만, 개별 단계는 정상적이나 순서의 조합으로 발생하는 '시퀀스 기반 공격(Sequence-based attacks)'을 식별하는 데 취약합니다.
  • 향후 보안 워크플로우는 AI가 제안한 공격 시나리오를 바탕으로 인간이 실제 환경에서 검증하는 'AI 제안-인간 실행' 구조로 진화할 전망입니다.