在人工智能热潮席卷全球的当下,“ChatGPT”无疑是最近互联网上最热门的话题,ChatGPT在区块链领域也引发了不少争议,从最基本的“你问我答”到简单的市场分析,甚至设计出一套量化策略来炒币...Chatgpt的“超能力”也渗透到了区块链赛场的每一个角落。
上周,ChatGPT-4正式上线。根据其开发者OpenAI的说法,“ChatGPT-4在各种专业和学术基准测试中具有人类水平的性能”。在实际应用中,ChatGPT-4在SAT(美国高考)中获得高分,成功检测出以太坊智能合约的漏洞,甚至提出了潜在的利用漏洞的方法(有点黑客思维)。
比特币基地主任康纳·格罗根立即证实了这一点。他在社交媒体上表示,他在ChatGPT-4中插入了实时以太坊智能合约。于是,AI瞬间就发现了安全漏洞,甚至展示了如何利用这些漏洞进行攻击。康纳·格罗根还表示,该合同确实在2018年被黑客利用。此外,他透露,也尝试了欧拉的智能合约,但由于合约太长,无法用ChatGPT-4处理。康纳·格罗根承认,人工智能最终会让智能合约变得更安全、更容易建立。
随着这条推文的发布,OpenAI ChatGPT检测安全漏洞的能力也成为圈内最热门的话题之一。ChatGPT真的能检查去中心化应用的安全漏洞吗?有多准确?安保公司慌了吗?为了回答上述问题,比特币基地迅速开展了专题研究。
就在本周二,比特币基地在其官方博客正式发布了使用ChatGPT和ERC20 token审查框架进行自动审查和区块链安全工程师进行审查的对比实验和报告结果。
实验的目的是通过将审查结果与区块链安全工程师执行的标准审查结果进行比较,确定ChatGPT令牌安全审查的准确性。在实验中,区块链安全工程师会使用内部工具对token智能合约中的每个函数进行审核,并根据标注给该函数的风险输出风险分值;同样,为了比较ChatGPT的准确性和标准审查的准确性,ChatGPT还需要生成一个风险评分。
为了让ChatGPT使用比特币基地的ERC20安全审查框架来生成风险分值,比特币基地需要在此之前向ChatGPT发出一些指示:
“我想让你成为区块链的安全工程师。您的任务是根据与令牌智能合约功能相关的风险来识别令牌智能合约中的安全风险。这是我们的框架[+风险框架]。以下智能合约是否存在这些风险?[+智能合约代码],“这样,比特币基地就可以在ChatGPT的提示下定义自己的风险框架,并询问自己是否有风险。
那么,ChatGPT的性能如何呢?
比特币基地在实验中比较了ChatGPT和人工安全审查之间的20个智能合同风险分数,其中ChatGPT产生了12次与人工审查相同的结果。然而,在其他8个错误中,ChatGPT有5次将高风险资产错标为低风险资产。
好像表现还可以。但众所周知,低估风险分值的后果比高估风险分值更为严重,可能导致部分高风险货币上市,严重损害交易所和用户的权益。
从实验结果得到的报告来看,ChatGPT只能说具有“浅薄”的快速评估智能合约风险的能力,但不符合比特币基地安全审查流程中的准确性要求:
首先,ChatGPT无法识别上下文何时丢失,从而无法执行可靠的安全性分析。这导致了覆盖缺口,额外的依赖项没有被审查。为了防止出现任何覆盖缺口,有必要对ChatGPT每次的审查范围进行初步分类。
其次,ChatGPT的输出可能不一致;当你在ChatGPT中多次输入同一个问题时,输出的总是同一个答案。ChatGPT似乎也受到了代码中注释的影响,偶尔似乎会默认注释而不是函数逻辑。
最后,OpenAI继续迭代ChatGPT版本,导致额外的输出不稳定。过去可能用于提供一致输出的详细提示可能会在版本更改后产生替代输出。可能需要及时维护和输出质量控制,以确保一致的响应并避免任何操作故障。
综上所述,或许比特币基地可以通过进一步的工程设计来提高ChatGPT令牌安全审计的准确性。然而,目前比特币基地仍不能完全依赖ChatGPT进行安全审查。比特币基地希望在未来提高其准确性,并将ChatGPT用作二次QA检查的工具,以便安全工程师可以使用该工具执行额外的控制检查,以捕捉任何可能被忽略的风险。ChatGPT提示将保存下来供工程师将来使用,并计划在将来进行改进。
就像比特币基地的实验一样,我们可以通过调整ChatGPT的指令设计来进一步提高其准确性。但是对于安全审计这样的弹性工作,如果单靠ChatGPT无法保证变量无法统一,仍然需要人工干预,根据具体的附加控制检查来完善ChatGPT的提示。
总的来说,AI在区块链行业的引入,无疑为圈内创业者提供了通过人工协作AI高效搭建的可能。ChatGPT知识库广,手动输入具体的业务逻辑和提示,而开发者可以使用ChatGPT在更短的时间内完成更多的工作。此外,针对安全工程师进行智能合同审计的高成本,ChatGPT提供了及时且具有成本效益的合同审计协助。
正如区块链开发者萨尔曼·阿尔沙德(Salman Arshad)在ETHDubai大会上的回答,“ChatGPT和ai工具是福音;他们不是我们的敌人,也不是用来终结开发者职业生涯的。”ChatGPT的协作性质可能比自动化流程和取代人工的潜在威胁更有利于用户。
最后想问一下,作为用户的你,敢不敢用ChatGPT审核的DeFi协议?
本网站声明:网站内容来源于网络。如有侵权,请联系我们,我们会及时处理。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"安全审计英文,安全审计软件":http://www.ljycsb.cn/qukuailian/243737.html。
微信扫描二维码投放广告
▲长按图片识别二维码
