La Fundación Ethereum pone a los agentes de IA a trabajar en su propio código
La Fundación Ethereum acaba de publicar uno de los relatos más sinceros hasta la fecha sobre lo que ocurre cuando se dirigen agentes de IA coordinados hacia una infraestructura de blockchain en producción. En resumen: los agentes funcionaron. Lo más difícil de asimilar fue todo lo que vino después.
¿Qué ocurrió realmente?
En una publicación del 9 de julio del equipo de Seguridad de Protocolos de la Fundación, el investigador Nikos Baxevanis explicó cómo el equipo ha pasado meses ejecutando flotas de agentes de IA contra los sistemas de los que depende Ethereum: código de red, bibliotecas criptográficas y contratos de alta seguridad. Uno de los resultados ya es público: una situación de pánico que se puede desencadenar de forma remota en «gossipsub», la capa de mensajería entre pares de la que dependen todos los clientes de consenso de Ethereum para propagar bloques y atestaciones. Ya se ha corregido y se ha publicado como CVE-2026-34219.
Según informes externos, el fallo se encontraba en el gestor de caducidad del backoff de PRUNE: un nodo podía enviar un mensaje de control manipulado con un valor de backoff cercano al máximo, lo que desencadenaba una operación aritmética de tiempo sin comprobar que provocaba un desbordamiento y el bloqueo del nodo; además, un atacante podía repetir el bloqueo indefinidamente sin apenas coste alguno. Según se informa, el NVD le otorgó una puntuación de 8,2 (Alta), y es el segundo fallo de este tipo relacionado con la gestión del backoff en versiones consecutivas de libp2p, tras el CVE-2026-33040 de la versión anterior.
Pero el hallazgo principal del equipo no fue que los agentes pudieran encontrar fallos, sino lo poco que costó encontrarlos y lo mucho que costó distinguir los fallos reales de los que solo parecían reales. Su proceso ejecuta varios agentes en paralelo sin un coordinador central, transmitiendo el estado a través del propio repositorio de Git: los agentes de reconocimiento convierten las superficies de ataque en hipótesis comprobables; los cazadores las rastrean e intentan reproducirlas; los «rellenadores de huecos» hacen un seguimiento de lo que ya se ha descartado; y los validadores vuelven a comprobar de forma independiente cada candidato antes de que se considere un hallazgo. Nada se considera un fallo real hasta que existe un reproductor autónomo que se ejecuta sobre el código real en producción, no sobre una compilación de depuración, ni sobre un valor interno creado manualmente que ningún atacante real podría generar.
La Fundación no es la única que ha adoptado esta arquitectura. La publicación señala que el equipo Frontier Red Team de Anthropic creó un agente similar para pruebas basadas en propiedades en todo el ecosistema de Python, y que Cloudflare ejecutó herramientas comparables de «red teaming» contra sus propios sistemas, todas ellas convergiendo en el mismo ciclo de reconocimiento > búsqueda > validación.
La adopción de la IA en el sector de las criptomonedas va más allá de la investigación en seguridad
Esta revelación se enmarca en un cambio mucho mayor que ya está en marcha en todo el sector:
- El informe del primer semestre de 2026 de CertiK situó las pérdidas en el sector de las criptomonedas en aproximadamente 1.32 mil millones de dólares en 344 incidentes, y empresas como Cyfrin y Olympix están llevando a cabo ahora comprobaciones impulsadas por IA de forma continua durante el desarrollo, en lugar de como una revisión puntual previa al lanzamiento. El cofundador de OpenZeppelin, Manuel Aráoz, fue más allá en X, argumentando que los agentes de codificación basados en IA han alcanzado una capacidad sobrehumana para detectar vulnerabilidades y que esto deja gran parte del DeFi estructuralmente expuesto —una afirmación que se difundió ampliamente después de que Wu Blockchain la publicara en mayo.
- La actualización EIP-7702 de Ethereum permite que una cuenta estándar conceda temporalmente permisos limitados en alcance y duración a un agente autónomo, lo que permite a los agentes operar, reequilibrar las reservas o pagar por recursos de computación sin llegar a tocar nunca la clave privada del usuario.
- Los datos del sector citados por varios informes de mercado de 2026 sugieren que una gran parte de las mesas de criptoinstitucionales han pasado de recurrir a los modelos de lenguaje grande (LLM) para el análisis a utilizar sistemas multiagente que supervisan los mercados y ejecutan operaciones directamente.
- La propia investigación de Anthropic (citada en el contexto más amplio de la Fundación) reveló que el éxito de los ataques impulsados por agentes contra vulnerabilidades históricas reales de contratos inteligentes se ha disparado durante el último año en las pruebas de referencia, lo que nos recuerda que las mismas herramientas pueden ser un arma de doble filo.
Conclusión
Lo que describe la Fundación Ethereum no es que la IA sustituya a los investigadores de seguridad, sino que el cuello de botella se está desplazando. Los agentes permiten al equipo abarcar mucho más terreno del que jamás podría cubrir una revisión manual, pero a cambio exigen un juicio humano mucho más cuidadoso ante una montaña mucho mayor de afirmaciones que parecen fiables. A medida que la auditoría asistida por IA se convierte en la norma en todo el ecosistema, desde la infraestructura a nivel de protocolo como libp2p hasta los contratos DeFi individuales, el verdadero reto del sector en 2026 parece ser menos «¿puede la IA encontrar el error?» y más «¿pueden los humanos seguir el ritmo para verificar lo que encuentra?».
Bonificación de depósito del 5% hasta 100 gemas

0% de comisiones en ingresos y reintegros.


Bono de depósito del 11% + FreeSpin
BONO DE DEPÓSITO EXTRA DEL 10% + 2 TIRADAS DE RULETA GRATIS
Maletín gratuito y bonificación de bienvenida del 100
5 cajas gratis, gratis a diario y bonificaciones

3 cajas gratis y una bonificación del 5% añadida a todos los depósitos en efectivo.

+5% al depósito


Comentarios