PEN:OpenAI 推出“王炸”產品 GPT-4，能不能完整檢測智能合約漏洞？_chat幣下架

作者：Beosin

北京時間3月15日凌晨，人工智能初創公司OpenAI正式公布最新一代人工智能語言模型GPT-4。

OpenAI在當天的聲明中稱，GPT-4的誕生，是OpenAI在放大深度學習方面的最新里程碑。

那現在進化后的GPT-4，又會帶給我們哪些驚喜？

進化后的GPT-4，到底有多「炸」？

根據OpenAI官方的介紹，GPT-4是一個超大的多模態模型，也就是說，它的輸入可以是文字，還可以是圖像。

其AI能力的恐怖之處體現在哪呢？比如下面這張照片。

你問它下圖中手套掉下去會怎樣？

它會回答：它會掉到木板上，并且球會被彈飛。

甚至只需要簡單在紙上畫一個網站的草稿圖，他就可以識別該網站。

Yuga Labs Dookey Dash的獲勝鑰匙在OpenSea上獲得110萬美元的出價:金色財經報道，一群NFT愛好者正試圖購買Yuga Labs的無盡跑酷游戲Dookey Dash的獲勝鑰匙，并開出110萬美元競標。UpDAO是中標鑰匙背后的集體，目前還沒有被目前的所有者，18歲的《堡壘之夜》主播凱爾·“蒙格拉爾”·杰克遜接受。

Mongraal將他的鑰匙NFT以2222個ETH的價格上市，大約是350萬美元。UpDAO與Pixel Vault的Inhabitants Universe有關，這是一款即將推出的帶有NFT角色的Web3游戲。[2023/2/26 12:30:01]

拍一張照片上傳給GPT-4，它就可以立馬生成網站的HTML代碼！

可見，GPT-4比GPT-3.5，更可靠、更有創造力，能夠處理更細微的指令。

除此之外，ChatGPT-4在內容準確性以及邏輯能力相比上一代也要提升不少，在統一律師考試中，GPT-4成績超過90%其它人，而GPT-3.5的成績只超過10%的人，GPP-4在SATMath獲得700分，GPT-3.5的成績為590分，提升了110分。在其它標準化考試中，GPT-4的成績也都比GPT-3.5優秀不少。

Blur發布版稅更新政策，包括推薦不使用OpenSea:金色財經報道，據Blur官推發布公告，該NFT市場宣布更新版稅政策，其中概述了創作者版稅一些選擇，每一種都會對Blur、創作者和OpenSea（Blur競爭獨守）產生不同的影響，主要涉及四種情況：1、如果藏品不使用Block，將無法禁止零版稅或可選版稅市場，在這種情況下，Blur將收取0.5%的版稅，而OpenSea則是可選版稅；2、Block Blur，任何禁止Blur或其他零版稅/版稅可選市場的NFT項目都將在OpenSea上被強制執行版稅，但交易仍可以在Blur上進行，需要收取最低0.5%的版稅；3、Blur推薦不使用OpenSea，Blur希望創作者不使用OpenSea，任何不使用OpenSea的NFT項目在Blur上都會被強制執行全額版稅；4、Blur要求OpenSea取消對Blur上NFT項目設置可選版稅的設置，如果OpenSea取消該政策，NFT項目將可以同時在兩個平臺上收取版稅。目前NFT項目創作者無法同時在Blur和OpenSea上收取版稅，只能在OpenSea或Blur兩者之一收取全部版稅，但不能同時收取。[2023/2/16 12:09:38]

SERO聯合創始人Jason Pope：NFT出圈可以促進多樣化的商品模型進入加密貨幣市場:金色財經現場報道，4月10日，金色財經主辦的共為創新大會“DeFi的創新進階”專場于上海舉辦，會上SERO聯合創始人、基金會理事成員Jason Pope分享表示，加密貨幣市場里token其本身的屬性或者說token的經濟模型比較單一，其應用空間也有限，而NFT出圈后，可以看到很多多樣化的商品模型被帶入到了加密貨幣市場里，進行融合應用。[2021/4/10 20:05:52]

在官方演示中，GPT-4幾乎就只花了1-2秒的時間，識別了手繪網站圖片，并根據要求實時生成了網頁代碼制作出了幾乎與手繪版一樣的網站。

除了普通圖片，GPT-4還能處理更復雜的圖像信息，包括表格、考試題目截圖、論文截圖、漫畫等，例如根據專業論文直接給出論文摘要和要點。

這么強，是不是你也感覺快要失業了

。

OpenLaw推出針對去中心化風險投資的去中心化自治組織:金色財經報道，專注于法律的區塊鏈平臺OpenLaw推出針對去中心化風險投資的去中心化自治組織“法律DAO”（LAO）。OpenLaw首席執行Aaron Wright表示，通過創建最初不超過100名的去中心化投資者小組，LAO尋求使新形式的風險投資合法化。盡管該項目向國際開放，但只有美國的合格投資者才能加入。[2020/4/29]

GPT-4可對論文進行解讀來源：OpenAI官網

用ChatGPT4審計智能合約會發生什么？

我們曾在去年12月發了一篇ChatGPT的研究文章，看看它審計智能合約會發生什么，擴展閱讀：風靡全網的「最強AI」ChatGPT，能不能檢測智能合約漏洞？

3月15日，Coinbase主管ConorGrogan在社交媒體發文稱，他已在ChatGPT-4中插入了一個實時以太坊智能合約，結果AI瞬間就找到了安全漏洞，甚至還展示了如何利用這些漏洞進行攻擊。

ConorGrogan表示，該合約的確在2018年被黑客利用漏洞攻擊，此外他還透露也嘗試了Euler的智能合約，但由于合約過長而無法被chatGPT-4處理，ConorGrogan坦言AI最終將是智能合約更安全、更容易構建。

聲音 | ETC Cooperative執行董事：以太坊是非常糟糕的貨幣選擇:去年10月，當被問及是否相信ETH可以成為功能最強大的全球無需許可的價值資產，V神稱，如果社區希望如此，ETH絕對可以成為貨幣。ETC Cooperative執行董事Bob Summerwill最近表示，“問題在于如果社區想要這樣做，那就不是貨幣了。”他解釋說比特幣的硬通貨特征之一是確定性。它必須是防篡改的，這是設置后不能改變的系統。他指出，比特幣有固定的供應量、設定的區塊獎勵規則和區塊大小，并稱不可能有比這更多的確定性。這是Ethereum Classic在第一年通過引入ETC貨幣政策選擇的道路。“這就是發行和供應將如何永遠運行，我們永遠不會改變這一點，而且它已完成。這就是讓事物變成硬通貨的原因。任何東西都可以是錢，公交票就是錢……錢就是您想要的東西，但要成為真正的貨幣，必須有固定的貨幣政策，而不是搞砸它。“考慮到在區塊獎勵和冰河世紀方面所做的改變，以太坊卻并非如此。他表示，一旦以太坊從PoW轉向PoS，貨幣政策就存在不確定性。“任何阻礙獎勵、時間安排或其他因素的變化都會影響它……所以我不會說以太坊不可能是貨幣，我會說以太坊是非常糟糕的貨幣選擇。”（AMBCrypto）[2020/1/6]

也有群友說，ChatGPT似乎可以審計前兩天EulerFinance約2億美元被盜案的漏洞。相關事件閱讀：復盤EulerFinance2億美元被盜案的來龍去脈，本次事件帶給我們哪些啟示？

但是，真的有這么簡單嗎？

圖源網絡

其實與早期的GPT模型一樣，GPT-4仍然存在一定的局限性。

OpenAI官方稱，它并不完全可靠，可能會出現推理錯誤，「GPT-4缺乏對絕大多數數據切斷后發生的事件的了解，并且無法從中吸取經驗教訓……它有時會出現簡單的推理錯誤，它會輕信用戶明顯的虛假陳述，有時它會像人類一樣在難題上失敗，例如在它生成的代碼中引入安全漏洞。」

基于此，OpenAI提醒，用戶在使用語言模型時應格外小心，最好輔助以人工審查、附加上下文、或完全避免在高風險情況下使用它。

ChatGPTVSBeosinVaaS，審計合約誰更強？

Beosin的形式化驗證專家說道：「ChatGPT可以學習合約的復雜模式，從不同維度對合約進行理解分類，可幫助靜態檢測技術增強專家模式，增加可識別漏洞的種類，降低漏報率和誤報率，可輔助面向屬性的測試驗證技術與領域屬性庫進行有效鏈接，通過自動合約識別與屬性插入，實現全自動化的測試驗證。但是ChatGPT難以識別日新月異的特定領域深層邏輯漏洞，這種漏動通常是與項目需求緊密結合，需要領域安全專家作為裁判，不斷歸納總結形成領域屬性庫對合約的安全性進行裁定。」

我們也發現ChatGPT并不能解決所有的問題，比如很多漏洞還是需要審計專家嚴苛審計，或者使用形式化驗證工具BeosinVaaS才能發現問題。

BeosinVaaS作為一款全球領先的「一鍵式」智能合約形式化驗證平臺。檢測準確率高達97%以上，精確定位風險代碼位置并給出修改建議，自動檢測智能合約80余項的常規安全漏洞及功能邏輯缺陷。BeosinVaaS可自動發現智能合約中存在的常規漏洞、業務邏輯錯誤等安全問題，并給出專家的修復意見。同時支持evm，wasm的所有公鏈的智能合約的上百種常規安全漏洞和業務邏輯缺陷檢測，能精確定位風險代碼位置，幫助開發者提高智能合約的安全能力。

形式化驗證工具BeosinVaaS：https://vaas.beosin.com/

比如我們在3月15日預警的PoolzFinance的LockedDeal合約遭到攻擊事件里，攻擊者調用了LockedDeal合約中存在漏洞的函數CreateMassPools，并且在參數_StartAmount中觸發了整數溢出的漏洞，我們測試了這個漏洞能通過VaaS工具檢測出來，ChatGPT卻不行。

同時，k值校驗的深層邏輯問題ChatGPT也檢測不出。

由于Uniswap這類DEX的實際的兌換轉賬操作在Pair的swap()函數中實現，為了防止攻擊者越過Router合約直接調用Pair合約進行swap()轉賬，需要在Pair合約的swap()函數中進行K值校驗，即swap之后pair中的K值仍然守恒。如果K值檢驗相關代碼存在安全漏洞，那么攻擊者能夠以極少量的代幣兌換出Pair中大部分代幣。

合約未檢查k值的cheapSwap函數

我們通過對K值校驗問題的研究，總結了該問題的特點，提取出了該問題的通用屬性供VaaS工具使用。在此之后，我們通過節點信息的分析，提取了ETH和BSC上共14W個地址的合約信息。這些地址合約全部都是相似的業務合約，均可能存在K值校驗問題。

除了使用形式化驗證工具VaaS，Beosin形式化驗證專家還會將安全審計專家凝練出的安全問題利用嚴格的數理邏輯抽象成可重用的安全屬性不變量，并交給混合機器引擎進行自動化檢測、測試、驗證，實踐證明這些可重用的安全屬性不變量可有效發現智能合約中新的微妙漏洞。這些都是像ChatGPT這類AI無法代替的部分。

不過在美國《紐約時報》網站3月8日刊登題為《ChatGPT的成功假象》的文章里，作者寫到：「今天，我們在人工智能領域取得的所謂革命性進展的確讓人既樂觀又擔憂。令人樂觀是因為智慧是我們解決問題的手段；令人擔憂是因為我們害怕最流行和最時髦的人工智能會像病株一樣將有根本缺陷的語言和知識概念融入我們的技術，從而降低我們的科學水平并降低我們的道德規范。」

Tags：GPTOPENPENCHATGenerative GPTOPENAIERCThrupennychat幣下架

瑞波幣