阅读时间: 5 分钟
探索chatGPT在智能合约审计中的有效性
30 年 2022 月 XNUMX 日,ChatGPT 上线。 没过多久就风靡全球。 无论您使用什么社交媒体,chatGPT 上都有帖子、表情包、信息性文章等等。 不仅如此,chatGPT 还是主流媒体的话题。 当我说每个人都在谈论 chatGPT 及其功能时,没有第二个想法。
在这篇博客中,让我们讨论一下 chatGPT 如何用于或可以用于智能合约审计或 Web3 网络安全。 让我们首先从什么是 chatGPT 开始。
什么是聊天 GPT?
ChatGPT 是一个交互式聊天机器人,它接受提示并根据其训练数据返回答案。 它具有非凡的对话能力,可以提供令人惊讶的人性化回应。
除此之外,让它变得更聪明的其中一件事是它不断从用户输入数据中学习的独特能力; 这是在带有人类反馈的强化学习层 (RLHF) 中实现的,这有助于它返回令人类满意的答案。
训练数据
每个 AI 模型只不过是一台训练有素的机器,它根据其学习和训练数据的发现给出答案。 训练数据可以是从视频到文本的任何内容,这些数据被提供给学习该数据的模型,当向该模型提出问题时,它会根据从训练数据中的学习给出答案。
chatGPT 根据从互联网收集的数据进行训练,包括 Reddit 讨论等来源,以帮助 ChatGPT 学习对话并实现类似人类的响应方式。 chatGPT 还接受了人类反馈的训练。 这种技术被称为人类反馈强化学习,这样人工智能就可以了解人们在提问时的期望。
ChatGPT 可以发现漏洞
在发布很久之后,人们开始在各种用例和场景中试验 chatGPT 的功能。 这个实验也在智能合约安全方面进行。
而 chatGPT 确实没有让我们失望。 然而,它仍有改进的空间,但它被证明是有用的,并且对审计员和处理智能合约的人有重大帮助。 当涉及到众所周知的黑客攻击和一些已经在系统中存在了一段时间的黑客攻击时,它对于捕获它们非常有用。
chatGPT 比较准确地发现的一些常见漏洞是:-
- 租用攻击: 这是一个常见的漏洞,攻击者可以在之前的执行完成之前重复调用智能合约中的函数,从而导致意外或恶意行为。
- 整数上溢/下溢: 智能合约通常依赖于整数计算,如果没有正确检查这些计算,它们可能会导致意外或不正确的行为。
- 未经检查的返回值:合约可能无法正确处理来自外部调用的意外返回值,这可能会导致潜在的漏洞并造成伤害。
- 不受保护的功能:合约可能没有适当的访问控制,导致未经授权访问敏感功能。 这可能导致重大损失。
chatGPT 还可以识别智能合约的其他一些漏洞和问题,您一定会惊讶地看到它们。 尽管如此,通过我们的测试,我们发现您经常会收到误报,并且很可能会遗漏一些关键错误。
chatGPT 能否找到所有漏洞?
虽然 chatGPT 是一个有用的工具,也是人工智能对大众的突破,但它还远非完美,不能留给完全安全的智能合约。
我们的测试发现,chatGPT 对 重入攻击,已经受到保护和测试。 除此之外,还有一些误报,最重要的是,我们团队发现的严重错误被 chatGPT 完全忽略了。 让我们讨论一下 chatGPT 可能遗漏的一些事情。
- 项目特定逻辑:- 该项目的主干是它的逻辑和事物如何相互关联,但 chatGPT 似乎错过了它。 在测试过程中,发现 chatGPT 经常无法找到关键的错误,这是特定于逻辑的。 由于协议底层基础设施的复杂性,chatGPT 遗漏了因合约互连而产生的关键漏洞,无法满足项目的逻辑要求。
- 不准确的数学计算和统计模型:- 当谈到项目时,无论是游戏项目、DeFi 项目还是任何项目,它主要涉及数学计算和关系。 这些公式通常不受 chatGPT 的检查和监控,并且遗漏了潜在的错误。
- 预期设计和实施中的不规范:- 很多时候,开发人员的实施并不像应有的那样正确,从而导致安全问题。 这在过去已被利用,并且仍然是可以改进的重要领域之一,而 chatGPT 在这方面也有点无知。
结论
当涉及到 web3 安全和审计时,AI 工具是一个帮助,这是毫无疑问的,但问题是,这就足够了吗? 答案是一个大大的“不”。 如前所述,一些关键漏洞很容易被遗漏,并且极有可能出现误报。 这些错误警报会产生一种错误的感觉,即 chatGPT 可以识别所有错误并让用户相信它,但现实是不同的,如果我们只依赖人工智能工具,可能会很严酷。
人工智能可能会变得非常有效,但我们还有很长的路要走。 我们提高安全性的最佳方法是同时使用人工智能和手动覆盖智能合约的安全方面。
关于 智能合约安全,没有替代审计。 审计是必不可少的,没有审计就没有用户之间的信任,因为审计报告意义重大。 许多用户在信任项目之前会先查看审计报告。 QuillAudits 是审计服务领域的领先公司之一。 随着 700 多个项目的安全和更多项目的到来,我们确保协议的完全安全。 立即查看我们的网站并审核您的项目。
20 观点
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://blog.quillhash.com/2023/04/03/beyond-the-hype-chatgpt-and-smart-contract-auditing/
- :是
- 2022
- a
- 对,能力--
- 关于
- ACCESS
- 后
- AI
- 报警
- 所有类型
- 已经
- 其中
- 和
- 回答
- 答案
- 除了
- 保健
- 刊文
- AS
- 方面
- 攻击
- 审计
- 审计
- 审计
- 核数师
- 审计
- 骨干
- 基于
- BE
- 成为
- before
- 相信
- 最佳
- 超越
- 大
- 位
- 博客
- 突破
- 问题
- 虫子
- by
- 计算
- 呼叫
- 被称为
- 呼叫
- CAN
- 不能
- 能力
- 例
- 原因
- 聊天机器人
- ChatGPT
- 查
- 未来
- 相当常见
- 通信
- 完成
- 完成
- 完全
- 复杂
- 继续
- 合同
- 合同的
- 控制
- 听起来像对话
- 覆盖
- 创建信息图
- 危急
- 关键
- 网络
- 网络安全
- data
- 处理
- DEFI
- 依赖的
- 设计
- 开发
- 对话
- DID
- 不同
- 发现
- 讨论
- 讨论
- 讨论
- 怀疑
- ,我们将参加
- 容易
- 有效
- 效用
- 更多
- 确保
- 必要
- 每个人
- 究竟
- 执行
- 期望
- 剥削
- 外部
- 失败
- 美联储
- 反馈
- 找到最适合您的地方
- 发现
- 企业
- (名字)
- 针对
- 发现
- 止
- 前
- 功能
- 功能
- 赌博
- 得到
- 给
- Go
- 黑客
- 处理
- 有
- 重
- 帮助
- 帮助
- 创新中心
- 但是
- HTTPS
- 巨大
- 人
- 人类
- 炒作
- i
- 鉴定
- 履行
- 实施
- 改善
- 改善
- 改进
- in
- 包含
- 信息
- 基础设施
- 输入
- 互动
- 互联
- 网络
- 问题
- IT
- 它的
- 保持
- 推出
- 层
- 铅
- 领导
- 学习用品
- 学习
- 容易
- 合乎逻辑的
- 长
- 看
- 离
- 占地
- 机
- 主流
- 主流媒体
- 使
- 手册
- 许多
- 群众
- 数学
- 数学的
- 问题
- 媒体
- 模因
- 错过
- 模型
- 更多
- 最先进的
- 十一月
- of
- on
- 一
- 其他名称
- 过去
- 员工
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 可能性
- 帖子
- 潜力
- 功率
- 以前
- 市场问题
- 项目
- 项目
- 正确
- 正确
- 建议
- 协议
- 协议
- 证明
- 提供
- 题
- 散列
- 凸
- 现实
- 接收
- 关系
- 释放
- 卓越
- 反复
- 报告
- 业务报告
- 需求
- 响应
- 导致
- 回报
- 回报
- Room
- 实现安全
- 情景
- 其次
- 行业
- 安全
- 担保
- 保安
- 似乎
- 感
- 敏感
- 特色服务
- 应该
- 显著
- 智能
- 聪明的合同
- 智能合约安全
- 智能合同
- 聪明
- So
- 社会
- 社会化媒体
- 一些
- 来源
- 具体的
- 开始
- 开始
- 统计
- 仍
- 风暴
- 样式
- 这样
- 一定
- 感到惊讶
- 系统
- 采取
- 需要
- 谈论
- 团队
- test
- 测试
- 这
- 项目
- 世界
- 他们
- 博曼
- 事
- 通过
- 次
- 时
- 至
- 工具
- 工具
- 熟练
- 产品培训
- 信任
- 相关
- 意外
- 独特
- us
- 使用
- 用户
- 用户
- 价值观
- 各个
- 视频
- 漏洞
- 漏洞
- 方法..
- Web3
- 您的网站
- 井
- 知名
- 什么是
- 是否
- 这
- 将
- 中
- 也完全不需要
- 世界
- 将
- 完全
- 您一站式解决方案
- 和风网