比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

火爆出圈的最強 AI GPT 是否可用于合約安全審計?_DEFI

Author:

Time:1900/1/1 0:00:00

前言

近期 ChatGPT 爆火,其對傳統文字工作的效率提高及總結能力讓使用者驚艷。緊隨其后 CodeGPT 這樣基于 GPT 的插件出現,也充分體現了其對代碼編寫效率的提高。而最新 GPT-4 的發布,是否可以應用到對區塊鏈 、Solidity 智能合約的審計中呢?

基于這樣的疑問,我們進行了多種可行性測試。

測試使用的對比模型對象:GPT-3.5(Web), GPT-3.5-turbo-0301, GPT-4(Web)。

代碼片段使用 Prompt:Help me discover vulnerabilities in this Solidity smart contract.

漏洞代碼片段的檢測對比

在此部分,我們分三次測試,使用歷史上常見的漏洞代碼作為測試一和測試二的用例,來驗證其對基礎漏洞的檢測能力,測試三中使用中等難度的漏洞代碼作為測試用例。

測試一

用例:《智能合約安全審計入門篇 —— Phishing with tx.origin》

漏洞代碼:

冉小波:算法交易誕生的流動性挖礦推動整個DeFi進入火爆階段:9月4日消息,NULS聯合發起人冉小波在做客《HyperPay焦點》欄目時提及:DeFi大熱,資金都傾向于玩DeFi,反而應該是其他公鏈的一個挑戰。所以公鏈也需要一些結合DeFi的一些創新的玩法了,不然大部分的資金和流量可能都會流轉到一些毫無實際意義項目的流動性挖礦中。這一點相信其他的公鏈團隊應該也感觸頗深。DeFi的分支有很多,各家公鏈也都有在做一些探索,總的來看,推動整個DeFi進入火爆階段的是算法交易誕生的流動性挖礦。近期大熱的項目基本上都是一些新的項目,通過流動性挖礦來進行籌碼的分配,以非常高的收益率來進行高通脹的Token分配,從而吸引大量的資金短時間內快速加入。[2020/9/4]

(1)對 GPT 進行提問:

(2)GPT-3.5(Web) answer

彭博社:8月加密市場因DeFi火爆增加超500種新代幣:由于DeFi熱潮涌動,2020年8月加密貨幣市場已經增加超500種新代幣,或導致加密泡沫再次變得越來越大。在投機欲望激增的推動下,豬排(Porkchop)、Davecoin、意面(PASTA)、壽司(Sushiswap)Newtonium等新代幣紛紛登場,許多項目沒有實際效用,但投資者已經投入數十億美元。根據DeFi市場數據提供商DeFi Pulse數據顯示,截至9月2日,用戶向所有DeFi應用程序投入的資金超過94.6億美元。(彭博社)[2020/9/2]

(3)GPT-3.5-turbo-0301 answer

(4)GPT-4(Web) answer

德意志銀行高管:比特幣火爆背后,銀行賬戶或將在5年內消失:德意志銀行高管馬庫斯申克認為,現在我們所熟悉的銀行賬戶可能會在短短五年內消失。“科技正在以不同的方式影響我們經營的業務,”申克指出零售銀行業務正“面臨一個全新的正常演變。”[2018/3/23]

可以看到結果:3 個測試版本都發現了關鍵的 tx.origin 相關問題。

測試二

用例:《智能合約安全審計入門篇 —— 溢出漏洞》

(1)對 GPT 進行提問:

火幣HT搶購火爆,數據驚人:火幣全球通用積分Huobi(HT)搶購數據:1分40秒售罄, 1月25日第二天比首日更加激烈,其中1萬元點卡套餐6秒被秒光~其次是1000元1分4秒;100,000萬1分5秒;100元1分40秒。HT在1月24日上午10點推出后就引發幣圈瘋搶,2分26秒內售罄。[2018/1/25]

可以看到 GPT-3.5(Web)、GPT-3.5-turbo-0301 都發現了關鍵的 Overflow 漏洞,出乎意料的是 GPT-4(Web) 居然沒有相關提示。

測試三

用例:《空手套白狼 —— Popsicle 被黑分析》

區塊鏈概念持續火爆,板塊內再現漲停潮:區塊鏈概念持續火爆,板塊內再現漲停潮。截至發稿,滬指上漲0.1%,報收3425點;深成指上漲0.24%,報收11464點;創業板上漲0.73%,報收1804點。從盤面上看,區塊鏈等板塊漲幅居前。[2018/1/11]

對比結果,我們可以看到 3 個版本都未發現關鍵的漏洞點。

代碼片段的檢測總結

可以看到 GPT 模型對簡單的漏洞代碼塊的檢測能力還是不錯的,但是對稍微復雜一點的漏洞代碼暫時還無法檢測,并且在測試中可以看到 GPT-4(Web) 的整體上下文可讀性很高,輸出格式清晰、舒服,但是其對代碼的審計能力暫時沒有遠超 GPT-3.5(Web)、GPT-3.5-turbo-0301,甚至在部分測試中由于 Transformer 輸出存在一定的不確定性反而導致 GPT-4(Web) 遺漏了一些關鍵問題。

為了更加契合普通項目方在合約審計中的簡單操作需求,這里我們提高些難度,針對代碼量大的合約進行全量導入上下文,讓 GPT-4 模型進行審計(GPT-3 對上下文的字符總數限制更小這里就不做測試)。

用例:《千萬美元被盜 —— DeFi 平臺 MonoX Finance 被黑分析》

整份合約分批輸入,在對話最后提出檢測漏洞請求

這里使用 Prompt:

Here is a solidity smart contract 

Contract code

The above is the complete code,help me discover vulnerabilities in this smart contract.

可以看到,GPT-4 雖然在 OpenAI 公布的信息中其單次輸入字符總數已經是當前最高,但還是會由于文本超長導致在最后提問時 GPT 會上下文缺失而只識別到部分內容,所以這樣對大型合約而言就無法進行完整的上下文審計。

拆封整份合約,分批輸入分批檢測

對話 1:

Help me discover vulnerabilities in this solidity smart contract.

分段內容 1

對話 2:

分段內容 2

對話 3:

分段內容 3

(1)優點

GPT 對合約代碼中基礎的簡單的漏洞具備部分檢測能力,并且在檢測出漏洞后會以很高的可讀性來解釋漏洞問題,這樣的特性比較適合為初級合約審計工作者前期訓練提供快速指導和簡單答疑。

(2)存在的問題

a. 每次生成內容波動

GPT 對每次對話的輸出存在一定的波動,可以通過 API 接口參數進行調整,但是依舊不是恒定的輸出,雖然這樣的波動性對語言對話來說是好的方式,大大提高了對話給人的真實感。但是這對代碼分析類的工作來說是一個不好的問題。因為為了覆蓋 AI 可能告知我的多種漏洞回答,我需要多次請求同一問題并進行對比篩選,這無形中又提高了工作量,違背了 AI 輔助人類提高效率的基準目標。

例如這里再次運行 "漏洞代碼片段的檢測對比測試二(其中簡單改變函數名后再次生成):

可以看到其輸出結果比之前測試又多了一些額外內容。

b. 漏洞分析能力依舊有很大的提高空間

對稍微復雜的漏洞進行檢測即會發現當前的(2024.3.16)訓練模型不能正確的分析并找到相關關鍵漏洞點。

GPT 輔助合約審計的可行性和潛力分析

雖然當前來看 GPT 對合約漏洞的分析及挖掘能力還處于相對較弱的狀態,但它對普通漏洞小代碼塊的分析并生成報告文本的能力依舊讓使用者興奮,在可預見的未來幾年伴隨這 GPT 及其他 AI 模型的訓練開發,相信對大型復雜合約的更快速,更智能,更全面的輔助審計一定會實現。當科技發展可指數級提高人工的效率時就會發生質變,我們非常期待 AI 對區塊鏈安全的助力,我們會持續關注新 AI 產品對區塊鏈安全的影響。最后可見的將來我們必將與 AI 在一定程度上進行融合,愿 AI 和區塊鏈與你同在。

慢霧科技

個人專欄

閱讀更多

金色財經 善歐巴

金色早8點

白話區塊鏈

Odaily星球日報

MarsBit

歐科云鏈

深潮TechFlow

Arcane Labs

BTCStudy

Tags:GPTDEFEFIDEFIChainGPTxDEF2價格pefi幣在哪里可以交易Defiskeletons

火必交易所
美聯儲救市 USDC、VCs全身而退 但加密行業的“危機”還未解除_SIG

作者:黑米 上周,硅谷銀行暴雷事件對加密行業產生了重大影響,波及多家大型 Web3 風險投資公司以及第二大穩定幣 USDC.

1900/1/1 0:00:00
SVB暴雷后 可能會步后塵的10家銀行_ANC

文 :《巴倫周刊》中文版撰稿人 郭力群許多投資者本以為銀行板塊在很大程度上沒有受到經濟衰退擔憂和利率上升的影響.

1900/1/1 0:00:00
美聯儲:加息25個基點 加到衰退為止_ION

凌晨兩點半,你還在我身邊,……凌晨兩點半,你不在我身邊,……你以為,我唱的是,臺灣歌手張信哲那首叫《寬容》的歌曲么? 不不不,我唱的是,投資者和美聯儲的關系.

1900/1/1 0:00:00
BitMEX:展望加密市場 未來幾個月可能遇到的 3 種情景_加密貨幣

加密貨幣交易平臺 BitMEX 概述了未來幾個月加密貨幣行業可能出現的三種情況。該公司認為美聯儲很可能在年底前停止加息,引發資金流入全球資本市場和避險資產.

1900/1/1 0:00:00
BTC、ETH、DeFi和CHatGPT:那些需要思想解放的時刻_BTC

作者:閃電HSL 前幾天(2023年3月下旬)我和幾個朋友現場聊天,我口若懸河地吹噓ChatGPT哪哪牛逼。一位朋友打斷我,叫我現場問chatGPT一個問題.

1900/1/1 0:00:00
2023年 AIGC顛覆游戲產業?_GPT

2023開年以來,AIGC(AI Generated Content,人工智能創造內容)的戰爭已經達到白熱化.

1900/1/1 0:00:00
ads