ATG:OpenAI 推出“王炸”產品 GPT-4，能不能完整檢測智能合約漏洞？

作者：Beosin

北京時間3月15日凌晨，人工智能初創公司OpenAI正式公布最新一代人工智能語言模型GPT-4。

OpenAI在當天的聲明中稱，GPT-4的誕生，是OpenAI在放大深度學習方面的最新里程碑。

那現在進化后的GPT-4，又會帶給我們哪些驚喜？

進化后的GPT-4，到底有多「炸」？

根據OpenAI官方的介紹，GPT-4是一個超大的多模態模型，也就是說，它的輸入可以是文字，還可以是圖像。

其AI能力的恐怖之處體現在哪呢？比如下面這張照片。

你問它下圖中手套掉下去會怎樣？

它會回答：它會掉到木板上，并且球會被彈飛。

甚至只需要簡單在紙上畫一個網站的草稿圖，他就可以識別該網站。

OpenSea（Polygon）12月NFT銷量接近200萬枚:1月6日，據DuneAnalytics數據顯示，OpenSea（Polygon）12月NFT銷量接近200萬枚，創歷史新高，比OpenSea（ETH）的12月NFT銷量（122萬枚）高出約64%。[2022/1/6 8:30:27]

拍一張照片上傳給GPT-4，它就可以立馬生成網站的HTML代碼！

可見，GPT-4比GPT-3.5，更可靠、更有創造力，能夠處理更細微的指令。

除此之外，ChatGPT-4在內容準確性以及邏輯能力相比上一代也要提升不少，在統一律師考試中，GPT-4成績超過90%其它人，而GPT-3.5的成績只超過10%的人，GPP-4在SATMath獲得700分，GPT-3.5的成績為590分，提升了110分。在其它標準化考試中，GPT-4的成績也都比GPT-3.5優秀不少。

NFT市場OpenSea的谷歌搜索量創下歷史新高:金色財經報道，據The Block Research數據，NFT最大市場之一OpenSea上周的谷歌搜索興趣創下了歷史新高。搜索興趣從8月第一周的73躍升至第二周的100（可能的最大興趣量）。OpenSea的Google搜索趨勢與NFT平臺上的交易量增加相吻合。之前報道，OpenSea的交易量從7月到8月增長了194%以上，當月的交易量已經達到8.3億美元。據悉，OpenSea是一家總部位于紐約的初創公司，成立于2017年，3月份獲得了AndreessenHorowitz的風險投資。OpenSea現在價值超過15億美元，最近的1億美元風險投資已于7月獲得。（The block）[2021/8/18 22:20:43]

在官方演示中，GPT-4幾乎就只花了1-2秒的時間，識別了手繪網站圖片，并根據要求實時生成了網頁代碼制作出了幾乎與手繪版一樣的網站。

除了普通圖片，GPT-4還能處理更復雜的圖像信息，包括表格、考試題目截圖、論文截圖、漫畫等，例如根據專業論文直接給出論文摘要和要點。

這么強，是不是你也感覺快要失業了

BiKi成為“OpenBox聯盟”首批合作伙伴:據官方消息，近日DeFiBox宣布發起成立“OpenBox聯盟”，BiKi成為首批聯盟伙伴。

該聯盟由DeFiBox.com發起成立，由DeFi錢包、交易所、挖礦平臺等DeFi生態伙伴共同組成。BiKi未來將與各位伙伴共同推進 DeFi生態系統發展。

BiKi是一家全球性的數字資產交易服務和區塊鏈技術提供商，旗下包括幣幣、合約、網格、杠桿、余幣寶、抵押借貸、ETF、流動性挖礦等業務。[2021/4/29 21:11:18]

。

GPT-4可對論文進行解讀來源：OpenAI官網

用ChatGPT4審計智能合約會發生什么？

我們曾在去年12月發了一篇ChatGPT的研究文章，看看它審計智能合約會發生什么，擴展閱讀：風靡全網的「最強AI」ChatGPT，能不能檢測智能合約漏洞？

3月15日，Coinbase主管ConorGrogan在社交媒體發文稱，他已在ChatGPT-4中插入了一個實時以太坊智能合約，結果AI瞬間就找到了安全漏洞，甚至還展示了如何利用這些漏洞進行攻擊。

OpenOcena.Finance完成新一輪融資:全聚合協議OpenOcean.Finance正式宣布已完成財務輪融資，具體金額暫未披露，Altonomy和LD Capital繼戰略輪后追投，AU21、FBG、TRON Foundation 、DAO Maker、Asymmetries Technologies、LIAN Group等投資機構及Republic.co合伙人參投。

OpenOcean.Finance致力于通過聚合打通去中心化和中心化交易所生態系統，成為用戶一站式的交易入口。目前聚合了主流公鏈以太坊，幣安智能鏈，本體和波場上的主流DEX（去中心化交易所）和中心化交易所幣安，使用智能訂單薄路由，通過深度優化的智能路徑算法，幫助用戶以最優的價格和較低的滑點進行交易。[2021/3/26 19:20:28]

ConorGrogan表示，該合約的確在2018年被黑客利用漏洞攻擊，此外他還透露也嘗試了Euler的智能合約，但由于合約過長而無法被chatGPT-4處理，ConorGrogan坦言AI最終將是智能合約更安全、更容易構建。

OpenEthereum 2.7.2版本漏洞導致12%的以太坊節點基本不可用:OpenEthereum中的一個更新使運行在新版本上的節點基本上無用，這個bug似乎是在OpenEthereum的2.7.2版本中引入的。OpenEthereum決定簡單地廢棄2.7版本，因為此版本及其bug非常難修復。最新的2.5.13穩定版迭代定于9月中旬在Berlin硬分叉之前發布。

但是，在此之前，下載新版本的運營商將面臨極具破壞性的降級任務。基礎架構開發商BlockNative的開發商Liam Aharon在Twitter上強調，降級需要完全重新同步區塊鏈，“對于某些節點配置，這將需要數月的時間。”該漏洞影響了當前Parity大約50％的節點，根據Ethernodes的數據，該節點總計占整個網絡的12％。OpenEthereum團隊正在研究一種轉換過程，該過程將幫助節點避免昂貴的重新同步。（Cointelegraph）[2020/8/25]

也有群友說，ChatGPT似乎可以審計前兩天EulerFinance約2億美元被盜案的漏洞。相關事件閱讀：復盤EulerFinance2億美元被盜案的來龍去脈，本次事件帶給我們哪些啟示？

但是，真的有這么簡單嗎？

圖源網絡

其實與早期的GPT模型一樣，GPT-4仍然存在一定的局限性。

OpenAI官方稱，它并不完全可靠，可能會出現推理錯誤，「GPT-4缺乏對絕大多數數據切斷后發生的事件的了解，并且無法從中吸取經驗教訓……它有時會出現簡單的推理錯誤，它會輕信用戶明顯的虛假陳述，有時它會像人類一樣在難題上失敗，例如在它生成的代碼中引入安全漏洞。」

基于此，OpenAI提醒，用戶在使用語言模型時應格外小心，最好輔助以人工審查、附加上下文、或完全避免在高風險情況下使用它。

ChatGPTVSBeosinVaaS，審計合約誰更強？

Beosin的形式化驗證專家說道：「ChatGPT可以學習合約的復雜模式，從不同維度對合約進行理解分類，可幫助靜態檢測技術增強專家模式，增加可識別漏洞的種類，降低漏報率和誤報率，可輔助面向屬性的測試驗證技術與領域屬性庫進行有效鏈接，通過自動合約識別與屬性插入，實現全自動化的測試驗證。但是ChatGPT難以識別日新月異的特定領域深層邏輯漏洞，這種漏動通常是與項目需求緊密結合，需要領域安全專家作為裁判，不斷歸納總結形成領域屬性庫對合約的安全性進行裁定。」

我們也發現ChatGPT并不能解決所有的問題，比如很多漏洞還是需要審計專家嚴苛審計，或者使用形式化驗證工具BeosinVaaS才能發現問題。

BeosinVaaS作為一款全球領先的「一鍵式」智能合約形式化驗證平臺。檢測準確率高達97%以上，精確定位風險代碼位置并給出修改建議，自動檢測智能合約80余項的常規安全漏洞及功能邏輯缺陷。BeosinVaaS可自動發現智能合約中存在的常規漏洞、業務邏輯錯誤等安全問題，并給出專家的修復意見。同時支持evm，wasm的所有公鏈的智能合約的上百種常規安全漏洞和業務邏輯缺陷檢測，能精確定位風險代碼位置，幫助開發者提高智能合約的安全能力。

形式化驗證工具BeosinVaaS：https://vaas.beosin.com/

比如我們在3月15日預警的PoolzFinance的LockedDeal合約遭到攻擊事件里，攻擊者調用了LockedDeal合約中存在漏洞的函數CreateMassPools，并且在參數_StartAmount中觸發了整數溢出的漏洞，我們測試了這個漏洞能通過VaaS工具檢測出來，ChatGPT卻不行。

同時，k值校驗的深層邏輯問題ChatGPT也檢測不出。

由于Uniswap這類DEX的實際的兌換轉賬操作在Pair的swap()函數中實現，為了防止攻擊者越過Router合約直接調用Pair合約進行swap()轉賬，需要在Pair合約的swap()函數中進行K值校驗，即swap之后pair中的K值仍然守恒。如果K值檢驗相關代碼存在安全漏洞，那么攻擊者能夠以極少量的代幣兌換出Pair中大部分代幣。

合約未檢查k值的cheapSwap函數

我們通過對K值校驗問題的研究，總結了該問題的特點，提取出了該問題的通用屬性供VaaS工具使用。在此之后，我們通過節點信息的分析，提取了ETH和BSC上共14W個地址的合約信息。這些地址合約全部都是相似的業務合約，均可能存在K值校驗問題。

除了使用形式化驗證工具VaaS，Beosin形式化驗證專家還會將安全審計專家凝練出的安全問題利用嚴格的數理邏輯抽象成可重用的安全屬性不變量，并交給混合機器引擎進行自動化檢測、測試、驗證，實踐證明這些可重用的安全屬性不變量可有效發現智能合約中新的微妙漏洞。這些都是像ChatGPT這類AI無法代替的部分。

不過在美國《紐約時報》網站3月8日刊登題為《ChatGPT的成功假象》的文章里，作者寫到：「今天，我們在人工智能領域取得的所謂革命性進展的確讓人既樂觀又擔憂。令人樂觀是因為智慧是我們解決問題的手段；令人擔憂是因為我們害怕最流行和最時髦的人工智能會像病株一樣將有根本缺陷的語言和知識概念融入我們的技術，從而降低我們的科學水平并降低我們的道德規范。」

Tags：GPTPENOPENATGgpt幣總量OpenDAOOPENAIERC價格Catgirl AI

AVAX