人工智能在識別安全漏洞方面已經被證明是有效的,但早期的測試表明它暫時無法替代人類。
雖然人工智能(AI)已經改變了許多行業,從醫療保健和汽車到市場營銷和金融,但它的潛力現在正受到一個最關鍵的領域–智能合同安全的考驗。
許多測試已經顯示出了基於AI的連鎖審計的巨大潛力,但這一新生技術仍然缺乏人類專業人員固有的一些重要品質–直覺、微妙的判斷和專業知識。
我自己的組織,“開放式飛艇”,最近進行了一系列實驗,強調人工智能在檢測漏洞方面的價值。這樣做是使用開放的最新的GPC-4模式,以確定安全問題的可靠智能合同。正在測試的代碼來自 以太諾 智能合同黑客網絡遊戲-設計來幫助審計師學習如何查找利用。在實驗期間,GTP-4成功地查明了28項挑戰中20項挑戰的脆弱性。
在某些情況下,僅僅提供代碼並詢問合同中是否包含一個漏洞將產生準確的結果,例如構造函數函數的下列命名問題:
在其他時候,結果更為復雜或明顯糟糕。有時候人工智能需要通過提供一個有點領導性的問題來提示正確的回復,比如,“您能更改先前合同中的庫地址嗎?”"在最壞的情況下,GTP-4也不會產生一個漏洞,即使事情已經非常清楚地說明了,比如"如果你從構造函數中調用這個函數,那麽你現在如何才能進入兩個門的智能契約呢?"在某一時刻,人工智能甚至發明了一個實際上並不存在的漏洞。
這突出表明了這一技術目前的局限性。盡管如此,GTP-4比它的前身GPC-3.5取得了顯著的進步,GPC-3.5是開放賽最初的《查特普特》中使用的大型語言模型。2022年12月,對Tg-1的實驗表明,該模型只能成功地解決26個水平中的5個。到2021年9月n為止,GTP-4和GPC-3.5都利用從人類反饋中學習的強化學習對數據進行了培訓,這一技術涉及到在培訓期間加強語言模型的人工反饋循環。
芯基 進行了 相似的實驗,得出了比較結果。這個實驗利用TAT-1來審查令牌安全性。雖然人工智能能夠為大量的智能合同反映手動評論,但它很難為他人提供結果。此外,CoinCLCS還列舉了一些將高風險資產貼上低風險資產標簽的例子。
重要的是要註意到Tg-1和GTP-4是為自然語言處理、類人對話和文本生成而開發的LLMS,而不是脆弱性檢測。如果有足夠的智能合同漏洞的例子,LLM就有可能獲得識別漏洞所需的知識和模式。
然而,如果我們想要更有針對性和可靠的脆弱性檢測解決方案,一個專門培訓高質量脆弱性數據集的機器學習模型很可能會產生更好的結果。為具體目標定製的培訓數據和模型可更快地改進和取得更準確的結果。
例如,在開放齊柏林飛機公司的AI團隊最近建立了一個定製的機器學習模型來檢測重新進入攻擊–這是智能合同對其他合同進行外部調用時可能出現的一種常見的剝削形式。早期評價結果顯示,與行業領先的安全工具相比,性能優秀,假陽性率低於1%。
平衡人工智能和人類專業知識
迄今為止的實驗表明,雖然目前的人工智能模型可以成為識別安全漏洞的有用工具,但它不太可能取代人類安全專業人員微妙的判斷和專業知識。GTP-4主要利用到2021年的公開數據,因此無法確定超出其培訓數據範圍的復雜或獨特的弱點。考慮到塊鏈的快速發展,開發者繼續了解該行業的最新進展和潛在弱點至關重要。
展望未來,智能合同安全的未來可能涉及人力專業知識之間的協作和持續改進人工智能工具。最有效的防禦措施是利用人工智能來識別最常見和眾所周知的弱點,而人類專家則跟上最新進展,並相應更新人工智能解決方案。在網絡安全領域之外,人工智能和封鎖鏈的共同努力將有許多更積極和突破性的解決辦法。
單憑人工智能無法取代人類。然而,學會利用人工智能工具的審計員將比對這種新興技術視而不見的審計員有效得多。