
イーサリアム財団、AIエージェントを活用して致命的なセキュリティ欠陥を発見…技術的成果と「ハルシネーション」の課題
イーサリアム財団のセキュリティチームが、AIエージェントのスウォームを活用してネットワークノードを停止させる可能性のある致命的なバグを発見した。しかし、膨大な虚偽の報告の中から実際の脅威を特定するための、人間の専門家による「トリアージ」能力が重要な課題として浮上している。
2026年7月9日、イーサリアム財団(Ethereum Foundation)のプロトコルセキュリティチームは、調整されたAIエージェントスウォームを活用してネットワークの致命的な脆弱性を発見したと発表した。今回特定されたCVE-2026-34219は、イーサリアムのバリデーターをリモートで停止させることができる欠陥であり、AIがブロックチェーンセキュリティの核心領域で実質的な成果を上げられることを証明した。しかし、この過程でAIが生成した膨大な虚偽의 報告書を検証するために、多大な人間の専門家の努力が投入され、技術的な限界も同時に露呈した。
トリアージ(Triage、優先順位付け)こそが製品である。AIはバグを見つけることはできるが、その結果のうち何が実際の脅威であるかを確認する人間の検証プロセスが、セキュリティ監査の核心である。
セキュリティチームは、システムソフトウェア、暗号化コード、そして高度な正確性が要求されるスマートコントラクトを対象に、AIエージェントを集中的に投入した。これらのエージェントは、伝統的な手動監査や既存の自動化ツールでは検出が困難な複雑な論理的欠陥を見つけ出すように設計されている。財団側は、AIが実際のバグを発見することに成功したものの、その過程で提示された数多くの「自信に満ちた」誤報が、セキュリティ専門家に新しい形の業務負担を強いることになったと説明した。
CVE-2026-34219:Gossipsub脆弱性の技術的分析
今回発見された具体的な欠陥は、libp2pのGossipsub(ゴシップサブ)ネットワーキングプロトコルで発生するリモートトリガーパニック(remotely triggerable panic)現象である。Gossipsubは、イーサリアムのコンセンサスクライアントが使用するピア・ツー・ピア(P2P)メッセージングレイヤーの核心的な構成要素であり、特にRust言語で実装されたライブラリで脆弱性が確認された。攻撃者が特別に作成されたPRUNE制御メッセージを送信した場合、これを受信したバリデーターノードが異常終了し、ネットワークの合意形成プロセスに混乱を招く可能性がある構造だった。
- 攻撃者が特別に細工したPRUNE制御メッセージを送信し、ノードのクラッシュを誘発する可能性がある。
- これによりバリデータがオフラインになり、コンセンサスレイヤーの安定性に直接的な打撃を与える。
- 現在、この脆弱性は修正済みであり、セキュリティアドバイザリとともに公開されている。
イーサリアム財団は今回の実験を通じて、AIがセキュリティ分野において強力な「セキュリティ倍増装置(Security Force Multiplier)」になり得ることを確認した。AIエージェントは、人間が数ヶ月かけて行うべきコード分析を短時間で完了し、潜在的な攻撃経路を多角的な視点から提示する能力を示した。このような先制的な発見は、実際のネットワーク攻撃が発生する前に防御体制を構築するための貴重な時間を稼ぐことにつながった。
AIの検知能力は印象的であったが、財団はこれを実際のセキュリティ強化につなげるためには、人間の介入が不可欠であると強調した。AIが見つけ出した数多くの候補の中から実際の脅威を判別するプロセスは、単なる確認作業を超え、システム全体に対する深い理解に基づいた高度な判断力を必要とするためである。セキュリティチームは、AIの成果を無批判に受け入れると、かえってセキュリティリソースが浪費される可能性があると警告した。
シグナルとノイズ:AIセキュリティの限界とトリアージの重要性
AIエージェントが提示した約1,000件の候補結果のうち、大部分は技術的にはもっともらしく見えるが、実際には存在しない「ハルシネーション(幻覚)」の事例であった。AIはエラーのないコードに対しても、非常に論理的で説得力のある口調で欠陥を主張し、セキュリティ専門家はこれらの偽陽性(False Positive)を論破するために、各レポートを精密に分析しなければならなかった。これは、AIが生成する情報の量が増えるほど、それを検証する人間の「トリアージ」能力がセキュリティの主要なボトルネックになり得ることを示唆している。
財団のセキュリティチームは「トリアージこそが製品である」という表現を通じて、AIセキュリティ時代の新しいパラダイムを提示した。単にバグを見つけることよりも、どのレポートが実際に適切な対応が必要な脅威であるかを正確に分類し、証明するプロセスが、セキュリティサービスの実質的な価値を決定するという意味だ。このようなアプローチは、AIツールの普及の中でも、人間の専門家の役割が縮小するのではなく、むしろより高いレベル의 判断力を要求する方向へと進化していることを示している。
2026年7月11日現在、CVE-2026-34219の脆弱性はすでにパッチが適用されており、イーサリアムネットワークの安定性には問題がないことが確認されている。財団は今回の先制的な措置を通じて、潜在的なネットワーク停止事態を未然に防ぎ、バリデータ運用者に対して最新のソフトウェアアップデートを推奨した。今回の事例は、AIを活用した能動的なセキュリティ防御が実際のネットワーク保護に貢献した重要な事例として記録される見通しだ。
結論として、AIはイーサリアムのような複雑なプロトコルのセキュリティを強化する上で革新的なツールであることが証明されたが、依然として人間の検証というフィルターを必要としている。AIが発見したバグを人間が証明し解決する協業モデルは、今後ブロックチェーンセキュリティの標準として定着するものと見られる。技術の発展が加速するにつれ、AIの効率性と人間の洞察力を組み合わせたハイブリッドセキュリティ戦略の重要性はさらに高まるだろう。


本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。
この記事について話しましょう
ほかの読者の反応を見ながら、自分の意見も残せます。