ETH:火爆出圈的最强 AI GPT 是否可用于合约安全审计?

前言

近期ChatGPT爆火,其对传统文字工作的效率提高及总结能力让使用者惊艳。紧随其后CodeGPT这样基于GPT的插件出现,也充分体现了其对代码编写效率的提高。而最新GPT-4的发布,是否可以应用到对区块链、Solidity智能合约的审计中呢?

基于这样的疑问,我们进行了多种可行性测试。

测试环境及测试方法

测试使用的对比模型对象:GPT-3.5(Web),GPT-3.5-turbo-0301,GPT-4(Web)。

代码片段使用Prompt:HelpmediscovervulnerabilitiesinthisSoliditysmartcontract.

漏洞代码片段的检测对比

在此部分,我们分三次测试,使用历史上常见的漏洞代码作为测试一和测试二的用例,来验证其对基础漏洞的检测能力,测试三中使用中等难度的漏洞代码作为测试用例。

测试一

用例:《智能合约安全审计入门篇——Phishingwithtx.origin》

漏洞代码:

ZetaChain:Omnichain DAO已上线ZetaChain测试网:4月30日消息,跨链智能合约平台ZetaChain发推称,由STP(资产代币化发行平台STP Network)驱动的Omnichain DAO已上线ZetaChain测试网。加密用户将很快能够从一个地方对以太坊,Polygon和任何其他链的提案进行投票。

此前消息,CoinList公告宣布,ZetaChain将推出激励测试网,并于CoinList开放节点申请,测试网参与者将有机会获得相应回报。

页面显示,申请将于4月30日截止,测试网将允许总计150个节点参与,总奖励池包含420万枚ZETA(总供应量的0.2%),锁定期1年。[2023/4/30 14:35:59]

对GPT进行提问:

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

三六零计划推出类ChatGPT产品:金色财经报道,三六零表示,公司的人工智能研究院从2020年开始一直在包括类ChatGPT技术在内的AIGC技术上有持续性的投入,但截至目前仅作为内部业务自用的生产力工具使用,且投资规模及技术水平与当前的ChatGPT 3相比还有较大差距,各项技术指标只能做到略强于ChatGPT 2。公司也计划尽快推出类ChatGPT技术的demo版产品。[2023/2/7 11:52:19]

GPT-4(Web)answer

可以看到结果:3个测试版本都发现了关键的tx.origin相关问题。

测试二

用例:《智能合约安全审计入门篇——溢出漏洞》

漏洞代码:

基于Kava的跨链货币市场Hard Protocol整合Chainlink预言机:据官方公告,建立在Kava区块链上的跨链货币市场HARD Protocol现在正在使用Chainlink的价格参考数据预言机。

Kava是一个跨链DeFi平台,提供主流数字货币的抵押借贷。HARD Protocol是基于Kava区块链发布的跨链加密货币市场,支持BTC、XRP、BNB、BUSD、KAVA和USDX等资产借贷和挖矿赚取收益。[2020/11/10 12:10:44]

对?GPT?进行提问:

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

动态 | Simplechain与原仓文化达成深度战略合作:2019年12月13日由中宣部版权管理局指导, 广东省版权局、广州市版权局、广州市文化广电旅游局、 越秀区人民政府支持,国家版权贸易基地 (越秀) 承办的中国·广州国际版权授权大会在广州隆重举办, 大会旨在引领文化IP品牌产业的创新发展,会上SimpleChain与原仓文化达成深度战略合作,以区块链技术赋能文化产业,IP授权链上变现,实现区块链价值应用落地。[2019/12/13]

可以看到GPT-3.5(Web)、GPT-3.5-turbo-0301都发现了关键的Overflow漏洞,出乎意料的是GPT-4(Web)居然没有相关提示。

测试三

用例:《空手套白狼——Popsicle被黑分析》

漏洞代码:

对GPT进行提问:

动态 | InsurChain测试网络将于7月8日上线:据InsurChain官方消息,其项目测试网络已确认将7月8日(保险宣传日)上线。目前,InsurChain的技术团队正在进行封闭开发。同时,项目运营团队已赴保险行业相对发达的日本进行了市场调研,与当地企业交流经验。[2018/6/29]

GPT-3.5(Web)answer

GPT-3.5-turbo-0301answer

GPT-4(Web)answer

对比结果,我们可以看到3个版本都未发现关键的漏洞点。

代码片段的检测总结

可以看到GPT模型对简单的漏洞代码块的检测能力还是不错的,但是对稍微复杂一点的漏洞代码暂时还无法检测,并且在测试中可以看到GPT-4(Web)的整体上下文可读性很高,输出格式清晰、舒服,但是其对代码的审计能力暂时没有远超GPT-3.5(Web)、GPT-3.5-turbo-0301,甚至在部分测试中由于Transformer输出存在一定的不确定性反而导致GPT-4(Web)遗漏了一些关键问题。

对比已知漏洞的全量合约检测

为了更加契合普通项目方在合约审计中的简单操作需求,这里我们提高些难度,针对代码量大的合约进行全量导入上下文,让GPT-4模型进行审计。

用例:《千万美元被盗——DeFi平台MonoXFinance被黑分析》

整份合约分批输入,在对话最后提出检测漏洞请求

这里使用Prompt:

Hereisasoliditysmartcontract?

Contractcode

Theaboveisthecompletecode,helpmediscovervulnerabilitiesinthissmartcontract.

可以看到,GPT-4虽然在OpenAI公布的信息中其单次输入字符总数已经是当前最高,但还是会由于文本超长导致在最后提问时GPT会上下文缺失而只识别到部分内容,所以这样对大型合约而言就无法进行完整的上下文审计。

拆封整份合约,分批输入分批检测

这里使用Prompt:

对话1:

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段内容1

对话2:

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段内容2

对话3:

Helpmediscovervulnerabilitiesinthissoliditysmartcontract.

分段内容3

总结

GPT当前是否适合合约分析

优点

GPT对合约代码中基础的简单的漏洞具备部分检测能力,并且在检测出漏洞后会以很高的可读性来解释漏洞问题,这样的特性比较适合为初级合约审计工作者前期训练提供快速指导和简单答疑。

存在的问题

a.每次生成内容波动

GPT对每次对话的输出存在一定的波动,可以通过API接口参数进行调整,但是依旧不是恒定的输出,虽然这样的波动性对语言对话来说是好的方式,大大提高了对话给人的真实感。但是这对代码分析类的工作来说是一个不好的问题。因为为了覆盖AI可能告知我的多种漏洞回答,我需要多次请求同一问题并进行对比筛选,这无形中又提高了工作量,违背了AI辅助人类提高效率的基准目标。

例如这里再次运行"漏洞代码片段的检测对比测试二:

可以看到其输出结果比之前测试又多了一些额外内容。

b.?漏洞分析能力依旧有很大的提高空间

对稍微复杂的漏洞进行检测即会发现当前的训练模型不能正确的分析并找到相关关键漏洞点。

GPT辅助合约审计的可行性和潜力分析

虽然当前来看GPT对合约漏洞的分析及挖掘能力还处于相对较弱的状态,但它对普通漏洞小代码块的分析并生成报告文本的能力依旧让使用者兴奋,在可预见的未来几年伴随这GPT及其他AI模型的训练开发,相信对大型复杂合约的更快速,更智能,更全面的辅助审计一定会实现。当科技发展可指数级提高人工的效率时就会发生质变,我们非常期待AI对区块链安全的助力,我们会持续关注新AI产品对区块链安全的影响。最后可见的将来我们必将与AI在一定程度上进行融合,愿AI和区块链与你同在。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-3:366ms