火爆出圈的最強 AI GPT 是否可用于合約安全審計？_GPT

近期ChatGPT爆火，其對傳統文字工作的效率提高及總結能力讓使用者驚艷。緊隨其后CodeGPT這樣基于GPT的插件出現，也充分體現了其對代碼編寫效率的提高。而最新GPT-4的發布，是否可以應用到對區塊鏈、Solidity智能合約的審計中呢？

基于這樣的疑問，我們進行了多種可行性測試。

測試環境及測試方法

測試使用的對比模型對象：GPT-3.5(Web),GPT-3.5-turbo-0301,GPT-4(Web)。

代碼片段使用Prompt：HelpmediscovervulnerabilitiesinthisSoliditysmartcontract.

漏洞代碼片段的檢測對比

在此部分，我們分三次測試，使用歷史上常見的漏洞代碼作為測試一和測試二的用例，來驗證其對基礎漏洞的檢測能力，測試三中使用中等難度的漏洞代碼作為測試用例。

測試一

用例：《智能合約安全審計入門篇——Phishingwithtx.origin》

楊東：區塊鏈比人工智能維度更高，火爆是必然的:據《中國產經新聞》報道，中國人民大學大數據區塊鏈與監管科技實驗室主任楊東在接受記者采訪時曾表示，區塊鏈作為信任傳遞的工具，能夠在沒有中心化節點的前提下實現陌生人之間的可信記賬，從而為金融交易和經濟生活的其他方面帶來巨大的機遇。有人曾稱區塊鏈是比人工智能更偉大的技術，這句話不無道理。從維度上來看，人工智能更主要是解決生產力，而區塊鏈更多的是解決生產關系，所以區塊鏈比人工智能維度更高，因此對經濟社會國家，乃至個人更具廣泛的影響和沖擊，因此區塊鏈火爆是必然的。[2018/5/26]

漏洞代碼：

對GPT進行提問：

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

火幣HT搶購火爆，數據驚人:火幣全球通用積分Huobi（HT）搶購數據：1分40秒售罄, 1月25日第二天比首日更加激烈，其中1萬元點卡套餐6秒被秒光~其次是1000元1分4秒；100,000萬1分5秒；100元1分40秒。HT在1月24日上午10點推出后就引發幣圈瘋搶，2分26秒內售罄。[2018/1/25]

GPT-4(Web)answer

可以看到結果：3個測試版本都發現了關鍵的tx.origin相關問題。

測試二

用例：《智能合約安全審計入門篇——溢出漏洞》

漏洞代碼：

對GPT進行提問：

區塊鏈概念持續火爆，板塊內再現漲停潮:區塊鏈概念持續火爆，板塊內再現漲停潮。截至發稿，滬指上漲0.1%，報收3425點；深成指上漲0.24%，報收11464點；創業板上漲0.73%，報收1804點。從盤面上看，區塊鏈等板塊漲幅居前。[2018/1/11]

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

可以看到GPT-3.5(Web)、GPT-3.5-turbo-0301都發現了關鍵的Overflow漏洞，出乎意料的是GPT-4(Web)居然沒有相關提示。

測試三

區塊鏈概念行情火爆 區塊鏈概念股掀漲停潮:受外圍市場區塊鏈概念股持續大熱影響，A股市場上區塊鏈概念近日表現搶眼。區塊鏈指數昨日放量大漲5.88%，創該指數近一年來最大單日漲幅，同時成交量創歷史新高。區塊鏈概念股全線飄紅，18只個股漲幅在5%以上，其中10只個股相繼漲，包括廣電運通、遠光軟件、四方精創、易見股份、新晨科技、高偉達、飛天誠信、安妮股份等。從資金流向看，主力資金搶籌跡象較為明顯，昨日區塊鏈概念股整體主力資金凈流入16.03億元，7只個股主力資金凈流入逾億元，分別是利歐股份、恒生電子、廣電運通、游久游戲、浙大網新、飛天誠信、贏時勝。其中，利歐股份主力資金凈流入1.78億元，位居首位，該股昨日午后被拉升至漲停板，最新股價逼近60日線。[2018/1/11]

用例：《空手套白狼——Popsicle被黑分析》

漏洞代碼：

對GPT進行提問：

GPT-3.5(Web)answer

比特幣期貨上市后反應火爆 還有很多投資者難以進入市場:全球最受歡迎的加密貨幣的期貨在CBOE首次交易中上漲了26％，引發了兩次暫停交易，旨在平息市場。DV Chain首席執行官Garrett See表示，一些想要交易比特幣期貨的人很難進入這個市場，因為并不是所有的經理人都在最初支持它。[2017/12/12]

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

對比結果，我們可以看到3個版本都未發現關鍵的漏洞點。

代碼片段的檢測總結

可以看到GPT模型對簡單的漏洞代碼塊的檢測能力還是不錯的，但是對稍微復雜一點的漏洞代碼暫時還無法檢測，并且在測試中可以看到GPT-4(Web)的整體上下文可讀性很高，輸出格式清晰、舒服，但是其對代碼的審計能力暫時沒有遠超GPT-3.5(Web)、GPT-3.5-turbo-0301，甚至在部分測試中由于Transformer輸出存在一定的不確定性反而導致GPT-4(Web)遺漏了一些關鍵問題。

對比已知漏洞的全量合約檢測

為了更加契合普通項目方在合約審計中的簡單操作需求，這里我們提高些難度，針對代碼量大的合約進行全量導入上下文，讓GPT-4模型進行審計。

用例：《千萬美元被盜——DeFi平臺MonoXFinance被黑分析》

整份合約分批輸入，在對話最后提出檢測漏洞請求

這里使用Prompt：

Hereisasoliditysmartcontract

Contractcode

Theaboveisthecompletecode,helpmediscovervulnerabilitiesinthissmartcontract.

可以看到，GPT-4雖然在OpenAI公布的信息中其單次輸入字符總數已經是當前最高，但還是會由于文本超長導致在最后提問時GPT會上下文缺失而只識別到部分內容，所以這樣對大型合約而言就無法進行完整的上下文審計。

拆封整份合約，分批輸入分批檢測

這里使用Prompt：

對話1：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段內容1

對話2：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段內容2

對話3：

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段內容3

總結

GPT當前是否適合合約分析

優點

GPT對合約代碼中基礎的簡單的漏洞具備部分檢測能力，并且在檢測出漏洞后會以很高的可讀性來解釋漏洞問題，這樣的特性比較適合為初級合約審計工作者前期訓練提供快速指導和簡單答疑。

存在的問題

a.每次生成內容波動

GPT對每次對話的輸出存在一定的波動，可以通過API接口參數進行調整，但是依舊不是恒定的輸出，雖然這樣的波動性對語言對話來說是好的方式，大大提高了對話給人的真實感。但是這對代碼分析類的工作來說是一個不好的問題。因為為了覆蓋AI可能告知我的多種漏洞回答，我需要多次請求同一問題并進行對比篩選，這無形中又提高了工作量，違背了AI輔助人類提高效率的基準目標。

例如這里再次運行"漏洞代碼片段的檢測對比測試二：

可以看到其輸出結果比之前測試又多了一些額外內容。

b.漏洞分析能力依舊有很大的提高空間

對稍微復雜的漏洞進行檢測即會發現當前的訓練模型不能正確的分析并找到相關關鍵漏洞點。

GPT輔助合約審計的可行性和潛力分析

雖然當前來看GPT對合約漏洞的分析及挖掘能力還處于相對較弱的狀態，但它對普通漏洞小代碼塊的分析并生成報告文本的能力依舊讓使用者興奮，在可預見的未來幾年伴隨這GPT及其他AI模型的訓練開發，相信對大型復雜合約的更快速，更智能，更全面的輔助審計一定會實現。當科技發展可指數級提高人工的效率時就會發生質變，我們非常期待AI對區塊鏈安全的助力，我們會持續關注新AI產品對區塊鏈安全的影響。最后可見的將來我們必將與AI在一定程度上進行融合，愿AI和區塊鏈與你同在。

Tags：GPT區塊鏈APIGPT價格GPT幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢API價格API幣

比特幣最新價格