Аудит розумних контрактів і кібербезпека – журнал Cointelegraph

Кожного дня цього тижня ми висвітлюємо один справжній, без фігня, без реклами випадки використання штучного інтелекту в крипто. Сьогодні це потенціал для використання штучного інтелекту для аудиту смарт-контрактів і кібербезпеки, ми настільки близькі, але водночас так далеко.

Одним із найбільших випадків використання штучного інтелекту та криптографії в майбутньому є аудит смарт-контрактів і виявлення прогалин у кібербезпеці. Є лише одна проблема — на даний момент GPT-4 поганий.

Coinbase випробувала можливості ChatGPT для автоматизованої перевірки безпеки токенів на початку цього року, і в 25% випадків вона помилково класифікувала токени високого ризику як токени низького ризику.
Джеймс Едвардс, провідний супроводжувач дослідника кібербезпеки Librehash, вважає, що OpenAI не зацікавлений у тому, щоб бот використовувався для таких завдань.

«Я твердо переконаний, що OpenAI тихо послабив деякі можливості бота, коли справа доходить до смарт-контрактів, щоб люди не покладалися на свого бота явно для розробки інтелектуального контракту», — говорить він, пояснюючи, що OpenAI, ймовірно, не не хочу нести відповідальність за будь-які вразливості чи експлойти.

Це не означає, що штучний інтелект має нульові можливості, коли справа стосується смарт-контрактів. AI Eye поспілкувався з мельбурнським цифровим художником Реттом Менкайндом ще в травні. Він взагалі нічого не знав про створення розумних контрактів, але шляхом проб і помилок і численних переписів зміг отримати ChatGPT для створення мемкойну під назвою Turbo яка досягла ринкової капіталізації в 100 мільйонів доларів.

Але, як зазначає керівник відділу безпеки CertiK Канг Лі, хоча ви можете отримати щось, що працює за допомогою ChatGPT, це, ймовірно, буде сповнене помилок логічного коду та потенційних експлойтів:

«Ви щось пишете, і ChatGPT допомагає вам це створювати, але через усі ці недоліки дизайну це може вийти з тріском, коли почнуть приходити зловмисники».

Тож це точно недостатньо добре для індивідуального аудиту смарт-контрактів, у якому крихітна помилка може призвести до втрати проекту десятками мільйонів — хоча Лі каже, що це може бути «корисним інструментом для людей, які аналізують код».

Річард Ма з фірми безпеки блокчейнів Quantstamp пояснює, що нині основною проблемою з її здатністю перевіряти смарт-контракти є те, що навчальні дані GPT -4 надто загальні.

Читайте також: Справжні приклади використання штучного інтелекту в криптовалюті, № 1 — Найкращі гроші для штучного інтелекту — це криптовалюта

«Оскільки ChatGPT навчається на багатьох серверах, а даних про смарт-контракти дуже мало, він краще зламує сервери, ніж смарт-контракти», — пояснює він.

Отже, гонка триває, щоб навчити моделей з роками даних про використання смарт-контрактів і хаки, щоб навчитися їх виявляти.

«Є новіші моделі, у які ви можете вводити власні дані, і це частково те, що ми робили», — каже він.

«У нас є справді велика внутрішня база даних усіх різних типів експлойтів. Я заснував компанію понад шість років тому, і ми відслідковували різні типи хаків. І тому ці дані є цінною річчю для навчання ШІ».

Триває змагання за створення аудитора смарт-контрактів AI

Едвардс працює над подібним проектом і майже завершив створення моделі штучного інтелекту WizardCoder з відкритим вихідним кодом, яка включає в себе репозиторій Mando Project вразливостей смарт-контрактів. Він також використовує попередньо навчену модель мов програмування Microsoft CodeBert, щоб допомогти виявити проблеми.

За словами Едвардса, під час тестування досі ШІ зміг «перевіряти контракти з безпрецедентною точністю, яка значно перевищує те, що можна було очікувати та отримати від GPT-4».

Основна частина роботи полягала у створенні спеціального набору даних експлойтів смарт-контрактів, які визначають уразливість аж до відповідних рядків коду. Наступний великий трюк — навчити модель виявляти закономірності та подібності.

«В ідеалі ви хочете, щоб модель могла об’єднати зв’язки між функціями, змінними, контекстом тощо, які, можливо, людина не намалює, переглядаючи ті самі дані».

Хоча він визнає, що це ще не так добре, як людина-аудитор, воно вже може зробити потужний перший прохід, щоб пришвидшити роботу аудитора та зробити її більш комплексною.

«Допомога в тому, як LexisNexis допомагає юристу. За винятком навіть більш ефективного», – каже він.

Не вірте галасу

Близький співзасновник Ілля Полушкін пояснює, що експлойти смарт-контрактів часто є дивовижними крайовими випадками ніші, імовірність один із мільярда призводить до того, що смарт-контракт поводиться несподівано.

Але LLMs, які засновані на передбаченні наступного слова, підходять до проблеми з протилежного боку, каже Полушкін.

«Поточні моделі намагаються знайти найбільш статистично можливий результат, чи не так? І коли ви думаєте про смарт-контракти чи розробку протоколів, вам потрібно думати про всі крайні випадки», — пояснює він.

Полушкін каже, що його досвід конкурентного програмування означає, що коли Near зосереджувався на ШІ, команда розробила процедури, щоб спробувати ідентифікувати ці рідкісні випадки.

«Це були більш формальні процедури пошуку навколо вихідного коду. Тож я не думаю, що це абсолютно неможливо, і зараз є стартапи, які справді інвестують у роботу з кодом і його правильність», — каже він.

Але Полушкин не думає, що ШІ буде таким же хорошим, як люди, в аудиті «найближчі пару років». Це займе трохи більше часу».

Читайте також: Справжні приклади використання штучного інтелекту в криптографії, № 2 — штучний інтелект може запускати DAO

Підпишіться

Найцікавіше читання в блокчейні. Доставляється раз на тиждень.

Ендрю Фентон

Ендрю Фентон, який живе в Мельбурні, є журналістом і редактором, який висвітлює криптовалюту та блокчейн. Він працював національним автором розважальних програм для News Corp Australia, на SA Weekend як кіножурналіст і в The Melbourne Weekly.

Слідкуйте за автором @andrewfenton