Cointime

扫码下载App
iOS & Android

OpenAI 推出“王炸”产品 GPT-4,能不能完整检测智能合约漏洞?

项目方

北京时间 3 月 15 日凌晨,人工智能初创公司 OpenAI 正式公布最新一代人工智能语言模型 GPT-4。

OpenAI 在当天的声明中称,GPT-4 的诞生,是 OpenAI 在放大深度学习方面的最新里程碑。

那现在进化后的 GPT-4 ,又会带给我们哪些惊喜?

进化后的 GPT-4,到底有多「炸」?

根据 OpenAI 官方的介绍,GPT-4 是一个超大的多模态模型,也就是说,它的输入可以是文字(上限 2.5 万字),还可以是图像。

其 AI 能力的恐怖之处体现在哪呢?比如下面这张照片。

你问它下图中手套掉下去会怎样?

它会回答:它会掉到木板上,并且球会被弹飞。(这逻辑能力,你能想象吗)

甚至只需要简单在纸上画一个网站的草稿图,他就可以识别该网站。

拍一张照片上传给 GPT-4,它就可以立马生成网站的 HTML 代码!

可见,GPT-4 比 GPT-3.5,更可靠、更有创造力,能够处理更细微的指令。

除此之外,ChatGPT-4 在内容准确性以及逻辑能力相比上一代也要提升不少,在统一律师考试(Uniform Bar Exam)中,GPT-4 成绩超过 90% 其它人,而 GPT-3.5 的成绩只超过 10% 的人,GPP-4 在 SAT Math 获得 700 分,GPT-3.5 的成绩为 590 分,提升了 110 分。在其它标准化考试中,GPT-4 的成绩也都比 GPT-3.5 优秀不少。

在官方演示中,GPT-4 几乎就只花了 1-2 秒的时间,识别了手绘网站图片,并根据要求实时生成了网页代码制作出了几乎与手绘版一样的网站。

除了普通图片,GPT-4 还能处理更复杂的图像信息,包括表格、考试题目截图、论文截图、漫画等,例如根据专业论文直接给出论文摘要和要点。

这么强,是不是你也感觉快要失业了

GPT-4 可对论文进行解读 来源:OpenAI 官网

用 ChatGPT4 审计智能合约会发生什么?

我们曾在去年 12 月发了一篇 ChatGPT 的研究文章,看看它审计智能合约会发生什么,扩展阅读:风靡全网的「最强 AI」ChatGPT,能不能检测智能合约漏洞?

3 月 15 日,Coinbase 主管 Conor Grogan 在社交媒体发文称,他已在 ChatGPT-4 中插入了一个实时以太坊智能合约,结果 AI 瞬间就找到了安全漏洞,甚至还展示了如何利用这些漏洞进行攻击。

Conor Grogan 表示,该合约的确在 2018 年被黑客利用漏洞攻击,此外他还透露也尝试了 Euler 的智能合约,但由于合约过长而无法被 chatGPT-4 处理,Conor Grogan 坦言 AI 最终将是智能合约更安全、更容易构建。

也有群友说,ChatGPT 似乎可以审计前两天 Euler Finance 约 2 亿美元被盗案的漏洞。相关事件阅读:复盘 Euler Finance 2 亿美元被盗案的来龙去脉,本次事件带给我们哪些启示?

但是,真的有这么简单吗?

图源网络

其实与早期的 GPT 模型一样,GPT-4 仍然存在一定的局限性。

OpenAI 官方称,它并不完全可靠,可能会出现推理错误 ,「GPT-4 缺乏对绝大多数数据切断后(2021 年 9 月)发生的事件的了解,并且无法从中吸取经验教训……它有时会出现简单的推理错误,它会轻信用户明显的虚假陈述,有时它会像人类一样在难题上失败,例如在它生成的代码中引入安全漏洞。」

基于此,OpenAI 提醒,用户在使用语言模型时应格外小心,最好辅助以人工审查、附加上下文、或完全避免在高风险情况下使用它。

ChatGPT VS Beosin VaaS,审计合约谁更强?

Beosin 的形式化验证专家说道:「ChatGPT 可以学习合约的复杂模式,从不同维度对合约进行理解分类,可帮助静态检测技术增强专家模式,增加可识别漏洞的种类,降低漏报率和误报率,可辅助面向属性的测试验证技术与领域属性库进行有效链接,通过自动合约识别与属性插入,实现全自动化的测试验证。但是 ChatGPT 难以识别日新月异的特定领域深层逻辑漏洞,这种漏动通常是与项目需求紧密结合,需要领域安全专家作为裁判,不断归纳总结形成领域属性库对合约的安全性进行裁定。」

我们也发现 ChatGPT 并不能解决所有的问题,比如很多漏洞还是需要审计专家严苛审计,或者使用形式化验证工具 Beosin VaaS 才能发现问题。

Beosin VaaS 作为一款全球领先的「一键式」智能合约形式化验证平台。检测准确率高达 97% 以上,精确定位风险代码位置并给出修改建议,自动检测智能合约 80 余项的常规安全漏洞及功能逻辑缺陷。Beosin VaaS 可自动发现智能合约中存在的常规漏洞、业务逻辑错误等安全问题,并给出专家的修复意见。同时支持 evm,wasm 的所有公链的智能合约的上百种常规安全漏洞和业务逻辑缺陷检测,能精确定位风险代码位置,帮助开发者提高智能合约的安全能力。

形式化验证工具 Beosin VaaS:https://vaas.beosin.com/

比如我们在 3 月 15 日预警的 Poolz Finance 的 Locked Deal 合约遭到攻击事件里,攻击者调用了 LockedDeal 合约中存在漏洞的函数 CreateMassPools,并且在参数_StartAmount 中触发了整数溢出的漏洞,我们测试了这个漏洞能通过 VaaS 工具检测出来,ChatGPT 却不行。

同时,k 值校验的深层逻辑问题 ChatGPT 也检测不出。

由于 Uniswap 这类 DEX 的实际的兑换转账操作在 Pair 的 swap() 函数中实现,为了防止攻击者越过 Router 合约直接调用 Pair 合约进行 swap() 转账,需要在 Pair 合约的 swap() 函数中进行 K 值校验,即 swap 之后 pair 中的 K 值仍然守恒。如果 K 值检验相关代码存在安全漏洞,那么攻击者能够以极少量的代币兑换出 Pair 中大部分代币。

合约未检查 k 值的 cheapSwap 函数

我们通过对 K 值校验问题的研究,总结了该问题的特点,提取出了该问题的通用属性供 VaaS 工具使用。在此之后,我们通过节点信息的分析,提取了 ETH 和 BSC 上共 14W 个地址的合约信息。这些地址合约全部都是相似的业务合约,均可能存在 K 值校验问题。

除了使用形式化验证工具 VaaS,Beosin 形式化验证专家还会将安全审计专家凝练出的安全问题利用严格的数理逻辑抽象成可重用的安全属性不变量,并交给混合机器引擎进行自动化检测、测试、验证,实践证明这些可重用的安全属性不变量可有效发现智能合约中新的微妙漏洞。这些都是像 ChatGPT这类AI 无法代替的部分。

不过在美国《纽约时报》网站 3 月 8 日刊登题为《ChatGPT 的成功假象》的文章里,作者写到:「今天,我们在人工智能领域取得的所谓革命性进展的确让人既乐观又担忧。令人乐观是因为智慧是我们解决问题的手段;令人担忧是因为我们害怕最流行和最时髦的人工智能(机器学习)会像病毒毒株一样将有根本缺陷的语言和知识概念融入我们的技术,从而降低我们的科学水平并降低我们的道德规范。」

评论

所有评论

推荐阅读

  • 2月20日晚间要闻速递

    1. 比特币短时突破53,000美元,随后跌破52000美元

  • 加密支付平台Meso完成950万美元融资

    加密支付平台 Meso 完成 950 万美元种子轮融资,Solana Ventures 和 Ribbit Capital 共同领投,Canonical Crypto、6th Man Ventures 以及天使投资人 Phantom 联合创始人 Chris Kalani、Pinterest 首席执行官 Bill Ready 和 Bodhi Labs 的 Archie Puri 等参投。

  • 链游工作室Crystal Fun完成500万美元种子轮融资

    去中心化链游生态平台及工作室 Crystal Fun 宣布完成 500 万美元种子轮融资。此轮投资由 Kucoin Ventures、Actoz Soft、Waterdrip Capital、Comma3 Ventures、Stratified Capital、Cypher9 Ventures、Aelf ventures、W Labs 和 Masverse 等知名机构参投。本次筹资将主要用于旗下游戏的开发与运营,目前 Crystal Fun 已宣布将推出四款游戏:《OUTER》、《Endless War》、《StarFall》和《Survivor》。此外,Crystal Fun 也宣布将于今日开启《OUTER》游戏的第二次内测,主要测试游戏内的平衡数值和压力负载,以确保玩家能享受到最佳的游戏体验。

  • 大连证监局等七部门:防范以“虚拟货币”“元宇宙”“财富分享”等名义进行非法集资

    据大连证监局2月20日消息,大连证监局等七部门发布关于防范以“虚拟货币”“元宇宙”“财富分享”等名义进行非法集资的风险提示称,近段时间,部分不法分子以“虚拟货币”“元宇宙”等名义,打着“财富商机分享”的旗号,通过线上组建微信群、线下召开全国巡讲会等方式,诱骗投资者下载非法APP,购买其自创的非法虚拟货币,涉嫌非法集资、诈骗等违法犯罪活动,严重侵害人民群众财产安全,扰乱经济金融活动秩序。

  • 英国部长预计在六个月内就稳定币和加密货币质押服务进行立法

    据彭博社报道,英国财政部经济大臣 Bim Afolami 表示,英国政府正在“大力推动”在未来六个月内就稳定币和加密货币质押服务进行立法。2023 年 10 月,英格兰银行和金融行为监管局 (FCA) 宣布了以协调方式监管加密货币行业的广泛计划。

  • BTC ETF在全球10个国家/地区注册成立,美国占据83.3%的市场份额

    据Coingecko报告显示,现货比特币ETF在全球10个国家/地区注册成立,并仅在5个地理市场进行交易。现货比特币ETF注册的国家有:G20国家、美国、加拿大、德国、巴西和澳大利亚,避税天堂百慕大、泽西岛、瑞士、列支敦士登和根西岛。香港可能成为第一个拥有现货比特币ETF的亚洲国家,那里的监管机构已准备好接受申请。 现货比特币ETF的主要市场是美国、欧洲和加拿大,而规模较小的现货比特币ETF市场则出现在巴西和澳大利亚。美国已成为现货比特币ETF的最大国家,今年年初批准的10只现货比特币ETF的总资产达347.8亿美元。目前,美国在价值417.4亿美元的全球现货比特币ETF市场中占据压倒性的83.3%,超过了此前以46.3%的市场份额领先的加拿大。

  • 统计:FTX各网络地址仍持有价值超30亿美元代币资产

    据 BlockBeats 统计,FTX 目前在比特币、以太坊和 Solana 网络仍持有价值 31.58 亿美元的代币资产,具体包括:比特币网络:3000 枚 BTC,价值 1.56 亿美元;以太坊网络:包括 2.66 亿枚 FTT、2500 万枚 WLD、1.05 亿枚 BIT、1.44 亿枚 BOBA、10,493 枚 ETH 在内的各种代币,总共价值 9.92 亿美元;Solana 网络:包括 7465 枚 WBTC 和 41,720 枚 WETH 在内的各种 SPL 代币,总共价值 20.1 亿美元。关于 FTX 在各网络的地址信息,可参考《SOL 涨了这么多,FTX 能卖多少钱?》(https://www.theblockbeats.info/news/49377)。

  • 许正宇:政府认为有需要把OTC纳入监管

    香港财经事务及库务局局长许正宇表示,政府认为有需要把虚拟货币场外交易所(OTC)纳入监管,并将于短期内就拟议的监管框架展开咨询,期望市民和持份者踊跃表达意见。这短期之内有多短我们不确定,但很确定的是:虚拟货币OTC在香港将迎来合规时代。香港作为老牌国际金融中心,对虚拟货币这一新事物的态度相对来说一直比较开放和包容。香港没有将虚拟货币视为法定货币或金融工具,而是将其定义为一种“虚拟资产”,并根据其涉及的活动和风险程度,采取相应的监管措施。 目前,香港对虚拟货币的监管主要集中在两个方面:一是对虚拟资产交易平台(VASP)的监管,二是对场外交易(OTC)商家的监管。

  • 香港中国金融协会主席:借鉴上海经验推动虚拟资产交易数字金融等金融新业态的创新发展

    香港中国金融协会主席孟羽在信报撰文《沪港“双城记”金融强国之路上讲好香港故事》,文章指出借鉴上海的经验,对照自身的定位和优势,香港应从以下几个方面做强自己的长板: 一是加强顶层设计,进一步完善香港的金融市场体系,推进金融基础设施的改造升级; 二是推动家族办公室、虚拟资产交易、碳交易与绿色金融、数字金融等金融新业态的创新发展; 三是持续大力推动香港金融市场的广度和深度建设,改革创新市场交易政策和机制,提高交易效率,降低交易成本,扩大市场深度,做大流量,增强市场信心。

  • 盘一盘2024主要叙事逻辑:写在元宇宙奇点发生时

    是否会有一股力量改变加密市场的牛市周期?