火爆出圈的最強 AI GPT 是否可用于合約安全審計？_WEB

前言

近期ChatGPT爆火，其對傳統文字工作的效率提高及總結能力讓使用者驚艷。緊隨其后CodeGPT這樣基于GPT的插件出現，也充分體現了其對代碼編寫效率的提高。而最新GPT-4的發布，是否可以應用到對區塊鏈、Solidity智能合約的審計中呢？

基于這樣的疑問，我們進行了多種可行性測試。

測試環境及測試方法

測試使用的對比模型對象：GPT-3.5(Web),GPT-3.5-turbo-0301,GPT-4(Web)。

代碼片段使用Prompt：HelpmediscovervulnerabilitiesinthisSoliditysmartcontract.

漏洞代碼片段的檢測對比

在此部分，我們分三次測試，使用歷史上常見的漏洞代碼作為測試一和測試二的用例，來驗證其對基礎漏洞的檢測能力，測試三中使用中等難度的漏洞代碼作為測試用例。

測試一

用例：《智能合約安全審計入門篇——Phishingwithtx.origin》

漏洞代碼：

楊海坡：流動性挖礦火爆的本質在于一二級市場形成的共振效應:9月7日早間，ViaBTC礦池CEO楊海坡發微博稱，流動性挖礦火爆的本質，來源于一級市場的套利和二級市場對于鎖倉數據的迷信，所形成的共振效應。[2020/9/7]

對GPT進行提問：

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

冉小波：算法交易誕生的流動性挖礦推動整個DeFi進入火爆階段:9月4日消息，NULS聯合發起人冉小波在做客《HyperPay焦點》欄目時提及：DeFi大熱，資金都傾向于玩DeFi，反而應該是其他公鏈的一個挑戰。所以公鏈也需要一些結合DeFi的一些創新的玩法了，不然大部分的資金和流量可能都會流轉到一些毫無實際意義項目的流動性挖礦中。這一點相信其他的公鏈團隊應該也感觸頗深。DeFi的分支有很多，各家公鏈也都有在做一些探索，總的來看，推動整個DeFi進入火爆階段的是算法交易誕生的流動性挖礦。近期大熱的項目基本上都是一些新的項目，通過流動性挖礦來進行籌碼的分配，以非常高的收益率來進行高通脹的Token分配，從而吸引大量的資金短時間內快速加入。[2020/9/4]

可以看到結果：3個測試版本都發現了關鍵的tx.origin相關問題。

測試二

用例：《智能合約安全審計入門篇——溢出漏洞》

漏洞代碼：

對?GPT?進行提問：

GPT-3.5(Web)answer

彭博社：8月加密市場因DeFi火爆增加超500種新代幣:由于DeFi熱潮涌動，2020年8月加密貨幣市場已經增加超500種新代幣，或導致加密泡沫再次變得越來越大。在投機欲望激增的推動下，豬排（Porkchop）、Davecoin、意面（PASTA）、壽司（Sushiswap）Newtonium等新代幣紛紛登場，許多項目沒有實際效用，但投資者已經投入數十億美元。根據DeFi市場數據提供商DeFi Pulse數據顯示，截至9月2日，用戶向所有DeFi應用程序投入的資金超過94.6億美元。（彭博社）[2020/9/2]

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

獨家 | Fomo3D第一輪大獎贏家揭曉 同類DAPP游戲或將再度火爆:第三方大數據評級機構RatingToken最新數據顯示，2018年8月21日全球共新增2014個合約地址，其中271個為代幣型智能合約。

另外RatingToken安全審計團隊專家指出，Fomo3D第一輪已經結束，獲獎者共獲得了10,469.660003123933104565個ETH。最后一筆有效買入交易發生在開獎前16分鐘，考慮到擁堵情況和參與者熱情，獲獎者操作極難復制。同時巨額利潤可能引起山寨類Fomo3D游戲再次爆發，參與此類游戲一定要注意智能合約代碼是否公開，合約安全是否有保障。特此提醒投資者需保持冷靜仔細甄別，警惕幸存者偏差誤導投資。

此外，昨日登上新增合約風險榜TOP10的合約包括Le Photon Token(LPT)、Relative Strengthening Index (RSI)、Your MOM(YMOM)、f3dplus(f3dplus)、JyagaEbiCoin(JEC)、FoMo3D Long Official(F3D)、FOMO Fast(FAST)、Okami PK Long Official(Okami)、SKW(SKW)和LandOwner VS Peasant(Land)。

如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/22]

可以看到GPT-3.5(Web)、GPT-3.5-turbo-0301都發現了關鍵的Overflow漏洞，出乎意料的是GPT-4(Web)居然沒有相關提示。

楊東：區塊鏈比人工智能維度更高，火爆是必然的:據《中國產經新聞》報道，中國人民大學大數據區塊鏈與監管科技實驗室主任楊東在接受記者采訪時曾表示，區塊鏈作為信任傳遞的工具，能夠在沒有中心化節點的前提下實現陌生人之間的可信記賬，從而為金融交易和經濟生活的其他方面帶來巨大的機遇。有人曾稱區塊鏈是比人工智能更偉大的技術，這句話不無道理。從維度上來看，人工智能更主要是解決生產力，而區塊鏈更多的是解決生產關系，所以區塊鏈比人工智能維度更高，因此對經濟社會國家，乃至個人更具廣泛的影響和沖擊，因此區塊鏈火爆是必然的。[2018/5/26]

測試三

用例：《空手套白狼——Popsicle被黑分析》

漏洞代碼：

對GPT進行提問：

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

對比結果，我們可以看到3個版本都未發現關鍵的漏洞點。

代碼片段的檢測總結

可以看到GPT模型對簡單的漏洞代碼塊的檢測能力還是不錯的，但是對稍微復雜一點的漏洞代碼暫時還無法檢測，并且在測試中可以看到GPT-4(Web)的整體上下文可讀性很高，輸出格式清晰、舒服，但是其對代碼的審計能力暫時沒有遠超GPT-3.5(Web)、GPT-3.5-turbo-0301，甚至在部分測試中由于Transformer輸出存在一定的不確定性反而導致GPT-4(Web)遺漏了一些關鍵問題。

對比已知漏洞的全量合約檢測

為了更加契合普通項目方在合約審計中的簡單操作需求，這里我們提高些難度，針對代碼量大的合約進行全量導入上下文，讓GPT-4模型進行審計。

用例：《千萬美元被盜——DeFi平臺MonoXFinance被黑分析》

整份合約分批輸入，在對話最后提出檢測漏洞請求

這里使用Prompt：

Hereisasoliditysmartcontract?

Contractcode

Theaboveisthecompletecode,helpmediscovervulnerabilitiesinthissmartcontract.

可以看到，GPT-4雖然在OpenAI公布的信息中其單次輸入字符總數已經是當前最高，但還是會由于文本超長導致在最后提問時GPT會上下文缺失而只識別到部分內容，所以這樣對大型合約而言就無法進行完整的上下文審計。

拆封整份合約，分批輸入分批檢測

這里使用Prompt：

對話1：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段內容1

對話2：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段內容2

對話3：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段內容3

總結

GPT當前是否適合合約分析

優點

GPT對合約代碼中基礎的簡單的漏洞具備部分檢測能力，并且在檢測出漏洞后會以很高的可讀性來解釋漏洞問題，這樣的特性比較適合為初級合約審計工作者前期訓練提供快速指導和簡單答疑。

存在的問題

a.每次生成內容波動

GPT對每次對話的輸出存在一定的波動，可以通過API接口參數進行調整，但是依舊不是恒定的輸出，雖然這樣的波動性對語言對話來說是好的方式，大大提高了對話給人的真實感。但是這對代碼分析類的工作來說是一個不好的問題。因為為了覆蓋AI可能告知我的多種漏洞回答，我需要多次請求同一問題并進行對比篩選，這無形中又提高了工作量，違背了AI輔助人類提高效率的基準目標。

例如這里再次運行"漏洞代碼片段的檢測對比測試二：

可以看到其輸出結果比之前測試又多了一些額外內容。

b.?漏洞分析能力依舊有很大的提高空間

對稍微復雜的漏洞進行檢測即會發現當前的訓練模型不能正確的分析并找到相關關鍵漏洞點。

GPT輔助合約審計的可行性和潛力分析

雖然當前來看GPT對合約漏洞的分析及挖掘能力還處于相對較弱的狀態，但它對普通漏洞小代碼塊的分析并生成報告文本的能力依舊讓使用者興奮，在可預見的未來幾年伴隨這GPT及其他AI模型的訓練開發，相信對大型復雜合約的更快速，更智能，更全面的輔助審計一定會實現。當科技發展可指數級提高人工的效率時就會發生質變，我們非常期待AI對區塊鏈安全的助力，我們會持續關注新AI產品對區塊鏈安全的影響。最后可見的將來我們必將與AI在一定程度上進行融合，愿AI和區塊鏈與你同在。

Tags：GPTWEBDEFEFIMGPT價格WEBOOGDEFI價格defi community

FIL