Een AI-gedreven securityproces van de
Ethereum Foundation vond een echte bug in de netwerklaag. De kwetsbaarheid kon nodes laten vastlopen, maar het verhaal draait vooral om iets anders: AI vond ruis én signaal.
De
Ethereum Foundation beschrijft hoe gecoördineerde AI-agents werden losgelaten op code waar het netwerk op vertrouwt. Eén echte vondst is nu openbaar: CVE-2026-34219 in libp2p’s gossipsub.
Gossipsub is onderdeel van de peer-to-peerlaag. Daarlangs verspreiden consensusclients berichten door het netwerk.
Eén peer kon een crash uitlokken
De
GitHub-advisory noemt de kwetsbaarheid een remote denial-of-service. Een netwerkpeer kon een speciaal PRUNE-bericht sturen met een extreem grote backoffwaarde.
Daarna kon de software bij heartbeat-verwerking vastlopen door een overflow. De kwetsbaarheid zat in versies van libp2p-gossipsub vóór 0.49.4.
Voor
Ethereum is dat geen kleine laag. Consensusclients gebruiken zulke netwerkcode om blocks en attestaties te verspreiden.
Een enkele bug in zo’n onderdeel kan veel verder reiken dan een gewone appfout.
Validators zijn niet alleen smart contracts
Veel beleggers kijken naar smart contracts, fees en tokenomics. Maar de echte risico’s zitten ook lager in de stack.
Validators moeten online blijven om mee te stemmen. Bij grote uitval kan finaliteit onder druk komen. Finaliteit betekent dat een checkpoint praktisch vastligt.
Daarom raakt zo’n bug direct aan staking. Een validator is niet alleen een economische positie. Het is ook software, netwerkverkeer, clients en updates.
De patch kwam voordat er bekende schade ontstond. Dat is goed nieuws.
Maar het laat ook zien hoe breed de aanvalskant van een groot netwerk is geworden.
AI is zoeklicht, geen rechter
De
Ethereum Foundation maakt zelf de belangrijkste nuance. Agents kunnen snel zoeken, maar ze produceren ook overtuigende onzin.
Een melding telt pas wanneer er een reproduceerbaar bewijs ligt. De Foundation zegt het scherp: een kandidaat is geen vondst totdat iemand anders het tegen echte code kan herhalen.
Daar zit de les. AI versnelt zoeken. Mensen moeten nog steeds beslissen wat echt is, wat dubbel is en wat alleen dramatisch klinkt.
Een model kan een bugverhaal schrijven. De keten heeft bewijs nodig.
Dat verschil wordt belangrijker naarmate AI vaker in securityonderzoek wordt gebruikt.
De volgende securityfase wordt sneller en rommeliger
Voor blockchain-teams is dit een blik vooruit. AI-agents gaan meer codepaden afzoeken, meer hypotheses maken en meer proofs proberen te bouwen.
Dat kan echte winst opleveren. Zeker bij grote codebases met veel afhankelijkheden.
Maar de bottleneck verhuist. Niet naar vinden, maar naar filteren.
Ethereum heeft nu een nette case: een echte bug, een patch, een disclosure en geen bekende schade. Dat is hoe het hoort.
De markt moet alleen niet de verkeerde conclusie trekken. AI beveiligt Ethereum niet zelfstandig. Het maakt menselijke controle zwaarder, sneller en belangrijker.