-
La vulnerabilidad detectada afectaba a gossipsub, usado por clientes de consenso de Ethereum.
-
La mayoría de los hallazgos generados por IA son descartados tras la validación humana.
El uso de inteligencia artificial (IA) para reforzar la seguridad de Ethereum ya está produciendo resultados concretos. Así lo aseguró Nikos Baxevanis, integrante del equipo de Seguridad del protocolo de la Fundación Ethereum, en un artículo publicado el 9 de julio de 2026.
En el documento, Baxevanis explicó cómo la organización coordina agentes de inteligencia artificial para auditar el código del protocolo y confirmó que esta metodología permitió descubrir vulnerabilidades reales. Sin embargo, el mensaje central del informe no es el hallazgo de fallos, sino que el verdadero reto consiste en distinguir los problemas reales de los falsos positivos.
Según el autor, los agentes analizan componentes críticos del protocolo, como el sistema de comunicación entre nodos, código criptográfico y contratos que requieren un alto nivel de seguridad. Uno de los resultados de este trabajo fue la detección de una vulnerabilidad que podía provocar un fallo remoto en gossipsub, un componente de la biblioteca libp2p utilizado por los clientes de consenso de Ethereum para comunicarse entre sí. El problema ya fue corregido y divulgado bajo el identificador CVE-2026-34219.
Asimismo, también explicó que la Fundación Ethereum organiza múltiples agentes con tareas específicas. Algunos generan hipótesis sobre posibles vulnerabilidades; otros intentan reproducirlas; un tercer grupo amplía la cobertura del análisis, mientras que agentes independientes validan cada resultado para eliminar duplicados y descartar errores.
Es importante resaltar que la organización sostiene que un posible fallo solo puede considerarse una vulnerabilidad si cumple varios requisitos: debe afectar una parte del protocolo realmente accesible para un atacante, demostrar qué propiedad de seguridad se rompe, incluir un mecanismo claro de explotación y, sobre todo, aportar una prueba reproducible que funcione sobre el código real. Sin esa evidencia, el hallazgo no se acepta.
De acuerdo con Baxevanis, la mayoría de los candidatos generados por la inteligencia artificial terminan descartándose. Algunos únicamente aparecen en versiones de prueba del programa; otros requieren condiciones imposibles de alcanzar en la práctica o corresponden a errores ya conocidos. Por ello, la fundación compara estos agentes con las herramientas tradicionales de pruebas automatizadas: encontrar posibles fallos resulta relativamente sencillo; comprobar cuáles representan una amenaza auténtica es la parte más compleja del proceso.
El informe también sostiene que la inteligencia artificial no sustituye el trabajo de los investigadores de seguridad. En cambio, desplaza el esfuerzo hacia tareas como verificar resultados, mantener registros de vulnerabilidades conocidas, eliminar duplicados y decidir cuándo corresponde divulgar un problema de forma responsable.
La revisión humana es un factor decisivo
La publicación coincide con una tendencia que gana terreno en la industria. Como reportó Criptonoticias, empresas como Anthropic y Cloudflare también han informado sobre el uso de agentes de inteligencia artificial para encontrar vulnerabilidades en sistemas complejos, aunque llegan a una conclusión similar: la mayor parte del trabajo sigue concentrándose en validar los resultados y no en generarlos.
Esta evolución también se refleja en el desarrollo de herramientas especializadas para el ecosistema de criptomonedas. Iniciativas como EVMbench, creada con participación de OpenAI y Paradigm, buscan medir la capacidad de los modelos de IA para detectar, explotar y corregir vulnerabilidades en contratos inteligentes, una tarea especialmente relevante para redes como Ethereum, donde miles de aplicaciones descentralizadas y soluciones de segunda capa dependen de la seguridad del código.
Ese avance también coincide con una preocupación creciente dentro del sector. Si bien estas herramientas aceleran la identificación de posibles fallos, también pueden producir una gran cantidad de falsos positivos e, incluso, facilitar que actores maliciosos encuentren vulnerabilidades con mayor rapidez. Por ello, la Fundación Ethereum insiste en que ninguna conclusión debe aceptarse sin pruebas reproducibles y revisión humana independiente.
Por ahora, la experiencia compartida por la organización muestra un cambio de enfoque en la ciberseguridad de infraestructuras críticas. A medida que la IA amplía la capacidad para analizar grandes bases de código, el valor ya no reside únicamente en descubrir vulnerabilidades, sino en verificarlas con rapidez y corregirlas antes de que puedan ser explotadas. En ese escenario, la capacidad de combinar automatización con criterio técnico podría convertirse en uno de los principales factores para fortalecer la seguridad de las redes de criptomonedas.








