前言
近期ChatGPT爆火,其對傳統文字工作的效率提高及總結能力讓使用者驚艷。緊隨其后CodeGPT這樣基于GPT的插件出現,也充分體現了其對代碼編寫效率的提高。而最新GPT-4的發布,是否可以應用到對區塊鏈、Solidity智能合約的審計中呢?
基于這樣的疑問,我們進行了多種可行性測試。
測試環境及測試方法
測試使用的對比模型對象:GPT-3.5(Web),GPT-3.5-turbo-0301,GPT-4(Web)。
代碼片段使用Prompt:HelpmediscovervulnerabilitiesinthisSoliditysmartcontract.
漏洞代碼片段的檢測對比
在此部分,我們分三次測試,使用歷史上常見的漏洞代碼作為測試一和測試二的用例,來驗證其對基礎漏洞的檢測能力,測試三中使用中等難度的漏洞代碼作為測試用例。
測試一
用例:《智能合約安全審計入門篇——Phishingwithtx.origin》
漏洞代碼:
楊海坡:流動性挖礦火爆的本質在于一二級市場形成的共振效應:9月7日早間,ViaBTC礦池CEO楊海坡發微博稱,流動性挖礦火爆的本質,來源于一級市場的套利和二級市場對于鎖倉數據的迷信,所形成的共振效應。[2020/9/7]
對GPT進行提問:
GPT-3.5(Web)answer
GPT-3.5-turbo-0301answer
GPT-4(Web)answer
區塊鏈概念持續火爆,板塊內再現漲停潮:區塊鏈概念持續火爆,板塊內再現漲停潮。截至發稿,滬指上漲0.1%,報收3425點;深成指上漲0.24%,報收11464點;創業板上漲0.73%,報收1804點。從盤面上看,區塊鏈等板塊漲幅居前。[2018/1/11]
可以看到結果:3個測試版本都發現了關鍵的tx.origin相關問題。
測試二
用例:《智能合約安全審計入門篇——溢出漏洞》
漏洞代碼:
對?GPT?進行提問:
GPT-3.5(Web)answer
GPT-3.5-turbo-0301answer
區塊鏈私募火爆 機構正在入場:近日,區塊鏈項目私募的火熱再次吸引了不少投資者的關注,而在今日,多位圈內大咖推出了門檻為500ETH的私募投資群,并表示入群者可以拿到市面上拿不到的私募額度。同時,郭宏才在微博表示有機構正在入場,網友認為,這是在花式割韭菜,不過也有人認為,這可能意味著大資金會進入場內。 ?[2018/1/2]
GPT-4(Web)answer
可以看到GPT-3.5(Web)、GPT-3.5-turbo-0301都發現了關鍵的Overflow漏洞,出乎意料的是GPT-4(Web)居然沒有相關提示。
測試三
用例:《空手套白狼——Popsicle被黑分析》
漏洞代碼:
對GPT進行提問:
比特幣期貨上市后反應火爆 還有很多投資者難以進入市場:全球最受歡迎的加密貨幣的期貨在CBOE首次交易中上漲了26%,引發了兩次暫停交易,旨在平息市場。DV Chain首席執行官Garrett See表示,一些想要交易比特幣期貨的人很難進入這個市場,因為并不是所有的經理人都在最初支持它。[2017/12/12]
GPT-3.5(Web)answer
GPT-3.5-turbo-0301answer
GPT-4(Web)answer
對比結果,我們可以看到3個版本都未發現關鍵的漏洞點。
代碼片段的檢測總結
可以看到GPT模型對簡單的漏洞代碼塊的檢測能力還是不錯的,但是對稍微復雜一點的漏洞代碼暫時還無法檢測,并且在測試中可以看到GPT-4(Web)的整體上下文可讀性很高,輸出格式清晰、舒服,但是其對代碼的審計能力暫時沒有遠超GPT-3.5(Web)、GPT-3.5-turbo-0301,甚至在部分測試中由于Transformer輸出存在一定的不確定性反而導致GPT-4(Web)遺漏了一些關鍵問題。
孫宇晨發微博分析以太坊云養貓火爆原因:Tron創始人孫宇晨發布微博分析以太坊云養貓火的原因,他認為:“1.貓的基因是真隨機數,血統高貴花費的努力與時間能夠被精準度量。2.數據去中心化,機制透明催生了公正市場。3.線上擼貓比線下省力,宅男女喜歡。4.數據透明,容易炫耀與比較。5.線上擼貓交易透明標準化易于交割,帶有投資屬性。6.交易智能合約7*24小時營業。”[2017/12/6]
對比已知漏洞的全量合約檢測
為了更加契合普通項目方在合約審計中的簡單操作需求,這里我們提高些難度,針對代碼量大的合約進行全量導入上下文,讓GPT-4模型進行審計。
用例:《千萬美元被盜——DeFi平臺MonoXFinance被黑分析》
整份合約分批輸入,在對話最后提出檢測漏洞請求
這里使用Prompt:
Hereisasoliditysmartcontract?
Contractcode
Theaboveisthecompletecode,helpmediscovervulnerabilitiesinthissmartcontract.
可以看到,GPT-4雖然在OpenAI公布的信息中其單次輸入字符總數已經是當前最高,但還是會由于文本超長導致在最后提問時GPT會上下文缺失而只識別到部分內容,所以這樣對大型合約而言就無法進行完整的上下文審計。
拆封整份合約,分批輸入分批檢測
這里使用Prompt:
對話1:
Helpmediscovervulnerabilitiesinthissoliditysmartcontract.
分段內容1
對話2:
Helpmediscovervulnerabilitiesinthissoliditysmartcontract.
分段內容2
對話3:
Helpmediscovervulnerabilitiesinthissoliditysmartcontract.
分段內容3
總結
GPT當前是否適合合約分析
優點
GPT對合約代碼中基礎的簡單的漏洞具備部分檢測能力,并且在檢測出漏洞后會以很高的可讀性來解釋漏洞問題,這樣的特性比較適合為初級合約審計工作者前期訓練提供快速指導和簡單答疑。
存在的問題
a.每次生成內容波動
GPT對每次對話的輸出存在一定的波動,可以通過API接口參數進行調整,但是依舊不是恒定的輸出,雖然這樣的波動性對語言對話來說是好的方式,大大提高了對話給人的真實感。但是這對代碼分析類的工作來說是一個不好的問題。因為為了覆蓋AI可能告知我的多種漏洞回答,我需要多次請求同一問題并進行對比篩選,這無形中又提高了工作量,違背了AI輔助人類提高效率的基準目標。
例如這里再次運行"漏洞代碼片段的檢測對比測試二:
可以看到其輸出結果比之前測試又多了一些額外內容。
b.?漏洞分析能力依舊有很大的提高空間
對稍微復雜的漏洞進行檢測即會發現當前的訓練模型不能正確的分析并找到相關關鍵漏洞點。
GPT輔助合約審計的可行性和潛力分析
雖然當前來看GPT對合約漏洞的分析及挖掘能力還處于相對較弱的狀態,但它對普通漏洞小代碼塊的分析并生成報告文本的能力依舊讓使用者興奮,在可預見的未來幾年伴隨這GPT及其他AI模型的訓練開發,相信對大型復雜合約的更快速,更智能,更全面的輔助審計一定會實現。當科技發展可指數級提高人工的效率時就會發生質變,我們非常期待AI對區塊鏈安全的助力,我們會持續關注新AI產品對區塊鏈安全的影響。最后可見的將來我們必將與AI在一定程度上進行融合,愿AI和區塊鏈與你同在。
在SilverGate因未能按時提交?10-K?報告而遭遇?FUD?的當下,同為加密友好型銀行的?SignatureBank?在?3?月?2?日提交?10-K?報告.
1900/1/1 0:00:00Mar.2023,Daniel數據源:ArbitrumEcosystemOverview雖然L2的甜蜜點一直是DeFi.
1900/1/1 0:00:00在之前的2021年末和2022年初的NFT牛市中,OpenSea幾乎占據了市場主導地位,日交易量達數十億美元.
1900/1/1 0:00:00文:尚治、徐鵬 清華大學互聯網產業研究院隨著互聯網技術的興起與迭代,過去幾十年里,創作者經濟作為一種全新經濟形態萌芽并迅速發展.
1900/1/1 0:00:001.金色觀察|灰度研究:加密貨幣圣杯“穩定幣”的崛起1976年,經濟學家FriedrichHayek撰寫了一篇名為《貨幣非國家化》的文章.
1900/1/1 0:00:00硅谷銀行倒閉,波及穩定幣。本文以Frax為案例進行研究,討論區中心化穩定幣的現狀。原文:《TheRisksofCentralizedCollateralizationinDecentralize.
1900/1/1 0:00:00