В то время как искусственный интеллект (ИИ) уже преобразовал множество отраслей, от здравоохранения и автомобилестроения до маркетинга и финансов, его потенциал сейчас проверяется в одной из самых важных областей блокчейн-индустрии: безопасности смарт-контрактов.
Многочисленные тесты показали большой потенциал аудита блокчейна на основе ИИ, но этой зарождающейся технологии по-прежнему не хватает некоторых важных качеств, присущих профессионалам-людям, — интуиции, тонкого суждения и экспертных знаний в предметной области.
Моя собственная организация OpenZeppelin недавно провела серию экспериментов, подчеркивающих ценность ИИ для обнаружения уязвимостей. Это было сделано с использованием последней модели OpenAI GPT-4 для выявления проблем безопасности в смарт-контрактах Solidity. Протестированный код взят из ethernaut Умная веб-игра по взлому контрактов, разработанная, чтобы помочь слушателям научиться исследовать эксплойты. В ходе экспериментов GPT-4 успешно выявил уязвимости в 20 из 28 задач.
В некоторых случаях простое предоставление кода и запрос, содержит ли контракт уязвимость, даст точные результаты, например, в следующей проблеме именования с функцией-конструктором:
В других случаях результаты были более неоднозначными или откровенно плохими. Иногда ИИ нужно было бы подсказать правильный ответ, задав несколько наводящий вопрос, например: «Можете ли вы изменить адрес библиотеки в предыдущем контракте?» В худшем случае GPT-4 не сможет найти уязвимость, даже если все будет достаточно четко указано, например, «Ворота один и два могут быть пройдены, если вы вызовете функцию из конструктора, как вы можете получить смарт-контракт GatekeeperTwo? сейчас? В какой-то момент ИИ даже изобрел уязвимость, которой на самом деле не было.
Это подчеркивает текущие ограничения этой технологии. Тем не менее, GPT-4 добился заметного прогресса по сравнению со своим предшественником, GPT-3.5, большой языковой моделью (LLM), которая использовалась, когда OpenAI первоначально запустила ChatGPT. В декабре 2022 года эксперименты с ChatGPT показали, что модель может успешно решить только пять уровней из 26. GPT-4 и GPT-3.5 были обучены на данных до сентября 2021 года с использованием обучения с подкреплением на основе отзывов людей, метода, в котором участвует человек. цикл обратной связи для улучшения языковой модели во время обучения.
Коинбейс выполненный аналогичные эксперименты, дающие сравнительный результат. В этом эксперименте ChatGPT использовался для проверки безопасности токенов. Хотя ИИ смог отразить ручные изменения для большей части смарт-контрактов, он изо всех сил пытался обеспечить результаты для других. Кроме того, Coinbase также привела несколько примеров того, как ChatGPT помечает активы с высоким риском как активы с низким уровнем риска.
Важно отметить, что ChatGPT и GPT-4 — это LLM, разработанные для обработки естественного языка, человеческого общения и генерации текста, а не для обнаружения уязвимостей. Имея достаточно примеров уязвимостей смарт-контрактов, LLM может приобрести знания и шаблоны, необходимые для распознавания уязвимостей.
Однако, если нам нужны более целенаправленные и надежные решения для обнаружения уязвимостей, модель машинного обучения, обученная исключительно на высококачественных наборах данных об уязвимостях, скорее всего, даст превосходные результаты. Учебные данные и пользовательские модели для конкретных целей позволяют быстрее совершенствоваться и получать более точные результаты.
Например, команда искусственного интеллекта OpenZeppelin недавно создала специальную модель машинного обучения для обнаружения атак с повторным входом — распространенной формы эксплуатации, которая может возникнуть, когда смарт-контракты совершают внешние вызовы к компьютерам. Первые результаты тестов демонстрируют превосходную производительность по сравнению с ведущими в отрасли инструментами безопасности с уровнем ложных срабатываний менее 1%.
Поиск баланса между ИИ и человеческим опытом
Опыт показывает, что, хотя современные модели ИИ могут быть полезным инструментом для выявления уязвимостей безопасности, они вряд ли заменят тонкие суждения и экспертные знания специалистов по безопасности. GPT-4 в основном опирается на общедоступные данные до 2021 года и поэтому не может выявлять сложные или уникальные уязвимости, выходящие за рамки обучающих данных. Учитывая быстрое развитие блокчейна, важно, чтобы разработчики продолжали узнавать о последних достижениях и потенциальных уязвимостях в отрасли.
В дальнейшем будущее безопасности смарт-контрактов, вероятно, будет связано с сотрудничеством между человеческим опытом и постоянным улучшением инструментов ИИ. Наиболее эффективной защитой от киберпреступников, вооруженных ИИ, будет использование ИИ для выявления наиболее распространенных и известных уязвимостей, в то время как специалисты-люди будут следить за последними достижениями и соответствующим образом обновлять решения ИИ. Помимо сферы кибербезопасности, совместные усилия искусственного интеллекта и блокчейна принесут много других положительных и революционных решений.
Один только ИИ не заменит человека. Однако аудиторы-люди, которые научатся пользоваться инструментами ИИ, будут намного эффективнее, чем аудиторы, которые закрывают глаза на эту появляющуюся технологию.
является руководителем отдела машинного обучения в OpenZeppelin. Она отвечает за прикладные инициативы AI/ML и данных в OpenZeppelin и Forta Network. Марико создала общедоступный API Forta Network и руководила проектами по обмену данными и открытым исходным кодом. Его система искусственного интеллекта в Forta обнаружила взломы блокчейна на сумму более 300 миллионов долларов в реальном времени до того, как они произошли.
Эта статья предназначена для общих информационных целей и не предназначена и не должна рассматриваться как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или представляют взгляды и мнения Cointelegraph.