DEFI:火爆出圈的最强 AI GPT 是否可用于合约安全审计？_FIL

前言

近期ChatGPT爆火，其对传统文字工作的效率提高及总结能力让使用者惊艳。紧随其后CodeGPT这样基于GPT的插件出现，也充分体现了其对代码编写效率的提高。而最新GPT-4的发布，是否可以应用到对区块链、Solidity智能合约的审计中呢？

基于这样的疑问，我们进行了多种可行性测试。

测试环境及测试方法

测试使用的对比模型对象：GPT-3.5(Web),GPT-3.5-turbo-0301,GPT-4(Web)。

代码片段使用Prompt：HelpmediscovervulnerabilitiesinthisSoliditysmartcontract.

漏洞代码片段的检测对比

在此部分，我们分三次测试，使用历史上常见的漏洞代码作为测试一和测试二的用例，来验证其对基础漏洞的检测能力，测试三中使用中等难度的漏洞代码作为测试用例。

测试一

用例：《智能合约安全审计入门篇——Phishingwithtx.origin》

漏洞代码：

火币尖峰对话卡咩：Defi项目的火爆集中在基于Token的金融领域:6月24日下午，在由火币主办的火币尖峰对话“Waiting For ETH2.0”系列AMA活动中，火币矿池与dForce创始人杨民道、Infstones Head of Bussiness Sili、Stafi&Wetez创始人卡咩、真本聪联合创始人索老头就“乘风破浪的以太坊DeFi ”展开主题讨论，深度解读ETH2.0将给行业带来的重大影响。

在Stafi&Wetez创始人卡咩看来，目前Defi项目的火爆集中在基于Token的金融领域，无论是交易、稳定币、借贷还是衍生品。他表示，任何基于Token的创新金融业务都有可能是新的引爆点，也会在引爆点后形成更宽的赛道。基于Token的业务将会发展的越来越快，种类会越来越多。在这种情况下，进行组合、重组或者整合的机会就开始变多，而边缘一些为这些服务提供工具的机会也会出现。[2020/6/24]

对GPT进行提问：

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

INT chain主链全球公测，答题送20万INT糖果火爆进行中:为庆祝INT chain主链进行全球公测，连续多场赠送糖果活动正在进行中，用户进入INT官方社群即可进行参与。INT chain是一个基于物联网区块链的项目，目标是要做一条可以中继不同的物联网的公链，形成边缘计算网络，有效流通资源，加快物联网普及进度。大幅降低物联网区块链应用的开发难度，致力于使物联网区块链内化成如同 TCP/IP 一样的物联网基础架构。INT将围绕工业制造、无人驾驶、物联网+区块链避开交通堵塞、公共技术设施和智能城市等应用场景发力。[2018/5/10]

GPT-4(Web)answer

可以看到结果：3个测试版本都发现了关键的tx.origin相关问题。

比特币火爆：Coinbase去年营收超10亿美元:随着加密货币的价格暴涨，美国比特币交易平台Coinbase也实现了快速发展，并因此遭遇了硅谷创业公司难得一遇的烦恼：有太多投资者想要入股该公司。知情人士透露，这家成立6年的公司去年的营收突破10亿美元大关，主要是因为人们对比特币和其他虚拟货币的兴趣激增所致。该公司去年8月估值为16亿美元，现在至少翻了一番。知情人士表示，Coinbase截至去年9月30日仅能实现约6亿美元的年营收，但感恩节和圣诞节期间的比特币交易将其全年营收提升到10亿美元以上。[2018/1/23]

测试二

用例：《智能合约安全审计入门篇——溢出漏洞》

漏洞代码：

对?GPT?进行提问：

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

区块链概念行情火爆 区块链概念股掀涨停潮:受外围市场区块链概念股持续大热影响，A股市场上区块链概念近日表现抢眼。区块链指数昨日放量大涨5.88%，创该指数近一年来最大单日涨幅，同时成交量创历史新高。区块链概念股全线飘红，18只个股涨幅在5%以上，其中10只个股相继涨，包括广电运通、远光软件、四方精创、易见股份、新晨科技、高伟达、飞天诚信、安妮股份等。从资金流向看，主力资金抢筹迹象较为明显，昨日区块链概念股整体主力资金净流入16.03亿元，7只个股主力资金净流入逾亿元，分别是利欧股份、恒生电子、广电运通、游久游戏、浙大网新、飞天诚信、赢时胜。其中，利欧股份主力资金净流入1.78亿元，位居首位，该股昨日午后被拉升至涨停板，最新股价逼近60日线。[2018/1/11]

GPT-4(Web)answer

可以看到GPT-3.5(Web)、GPT-3.5-turbo-0301都发现了关键的Overflow漏洞，出乎意料的是GPT-4(Web)居然没有相关提示。

数字货币市场日益火爆 ETC或将迎来新的暴涨:进入12月份以来，数字货币市场进入了一个癫狂状态，各种主流的数字货币一路狂飙，屡创新高。比特币从6万人民币一周之内迅速暴涨至12万人民币，紧随其后的是莱特币和以太坊，莱特币价格飙升至2000元的历史最高点，以太坊价格上涨了一倍达到5000元的高点，瑞波币也不甘寂寞两天价格翻3番，刷新历史最高纪录。作为数字货币第二梯队的莱特币、瑞波币均已经出现价格的暴涨，那么同为第二梯队的以太经典(ETC)也多次尝试价格上的突破。现以太经典最新成交价格为193.52元，最高价格达225.76元，最低价格174.67元。[2017/12/15]

测试三

用例：《空手套白狼——Popsicle被黑分析》

漏洞代码：

对GPT进行提问：

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

对比结果，我们可以看到3个版本都未发现关键的漏洞点。

代码片段的检测总结

可以看到GPT模型对简单的漏洞代码块的检测能力还是不错的，但是对稍微复杂一点的漏洞代码暂时还无法检测，并且在测试中可以看到GPT-4(Web)的整体上下文可读性很高，输出格式清晰、舒服，但是其对代码的审计能力暂时没有远超GPT-3.5(Web)、GPT-3.5-turbo-0301，甚至在部分测试中由于Transformer输出存在一定的不确定性反而导致GPT-4(Web)遗漏了一些关键问题。

对比已知漏洞的全量合约检测

为了更加契合普通项目方在合约审计中的简单操作需求，这里我们提高些难度，针对代码量大的合约进行全量导入上下文，让GPT-4模型进行审计。

用例：《千万美元被盗——DeFi平台MonoXFinance被黑分析》

整份合约分批输入，在对话最后提出检测漏洞请求

这里使用Prompt：

Hereisasoliditysmartcontract?

Contractcode

Theaboveisthecompletecode,helpmediscovervulnerabilitiesinthissmartcontract.

可以看到，GPT-4虽然在OpenAI公布的信息中其单次输入字符总数已经是当前最高，但还是会由于文本超长导致在最后提问时GPT会上下文缺失而只识别到部分内容，所以这样对大型合约而言就无法进行完整的上下文审计。

拆封整份合约，分批输入分批检测

这里使用Prompt：

对话1：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段内容1

对话2：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段内容2

对话3：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段内容3

总结

GPT当前是否适合合约分析

优点

GPT对合约代码中基础的简单的漏洞具备部分检测能力，并且在检测出漏洞后会以很高的可读性来解释漏洞问题，这样的特性比较适合为初级合约审计工作者前期训练提供快速指导和简单答疑。

存在的问题

a.每次生成内容波动

GPT对每次对话的输出存在一定的波动，可以通过API接口参数进行调整，但是依旧不是恒定的输出，虽然这样的波动性对语言对话来说是好的方式，大大提高了对话给人的真实感。但是这对代码分析类的工作来说是一个不好的问题。因为为了覆盖AI可能告知我的多种漏洞回答，我需要多次请求同一问题并进行对比筛选，这无形中又提高了工作量，违背了AI辅助人类提高效率的基准目标。

例如这里再次运行"漏洞代码片段的检测对比测试二：

可以看到其输出结果比之前测试又多了一些额外内容。

b.?漏洞分析能力依旧有很大的提高空间

对稍微复杂的漏洞进行检测即会发现当前的训练模型不能正确的分析并找到相关关键漏洞点。

GPT辅助合约审计的可行性和潜力分析

虽然当前来看GPT对合约漏洞的分析及挖掘能力还处于相对较弱的状态，但它对普通漏洞小代码块的分析并生成报告文本的能力依旧让使用者兴奋，在可预见的未来几年伴随这GPT及其他AI模型的训练开发，相信对大型复杂合约的更快速，更智能，更全面的辅助审计一定会实现。当科技发展可指数级提高人工的效率时就会发生质变，我们非常期待AI对区块链安全的助力，我们会持续关注新AI产品对区块链安全的影响。最后可见的将来我们必将与AI在一定程度上进行融合，愿AI和区块链与你同在。

标签：EFIDEFI区块链FILpefi币在哪里可以交易Metaegg DeFi区块链是什么意思fil币怎么取消了币本位

莱特币热门资讯