GPT:OpenAI 推出“王炸”產品 GPT-4，能不能完整檢測智能合約漏洞？

作者：Beosin

北京時間3月15日凌晨，人工智能初創公司OpenAI正式公布最新一代人工智能語言模型GPT-4。

OpenAI在當天的聲明中稱，GPT-4的誕生，是OpenAI在放大深度學習方面的最新里程碑。

那現在進化后的GPT-4，又會帶給我們哪些驚喜？

進化后的GPT-4，到底有多「炸」？

根據OpenAI官方的介紹，GPT-4是一個超大的多模態模型，也就是說，它的輸入可以是文字，還可以是圖像。

其AI能力的恐怖之處體現在哪呢？比如下面這張照片。

你問它下圖中手套掉下去會怎樣？

它會回答：它會掉到木板上，并且球會被彈飛。

甚至只需要簡單在紙上畫一個網站的草稿圖，他就可以識別該網站。

OpenSea Seaport交易額突破18億美元，交易量超600萬筆:金色財經消息，據Dune Analytics最新數據顯示，基于開源NFT協議Seaport的OpenSea總交易額已突破18 億美元，本文撰寫時為1,801,388,995美元，其中以太坊鏈上交易額為1,790,462,045美元，Polygon鏈上交易額為10,926,950美元。此外，當前基于Seaport協議的OpenSea鏈上交易總量已超600萬筆（6,182,637筆），其中以太坊鏈上交易總量達到5,806,467筆，Polygon鏈上交易量為376,170筆；獨立用戶量超過96萬，其中以太坊鏈上獨立用戶量為878,526個，Polygon鏈上獨立用戶量為81,662個。[2022/10/18 17:30:33]

拍一張照片上傳給GPT-4，它就可以立馬生成網站的HTML代碼！

可見，GPT-4比GPT-3.5，更可靠、更有創造力，能夠處理更細微的指令。

除此之外，ChatGPT-4在內容準確性以及邏輯能力相比上一代也要提升不少，在統一律師考試中，GPT-4成績超過90%其它人，而GPT-3.5的成績只超過10%的人，GPP-4在SATMath獲得700分，GPT-3.5的成績為590分，提升了110分。在其它標準化考試中，GPT-4的成績也都比GPT-3.5優秀不少。

NFT市場OpenSea BAYC交易總量突破65萬枚ETH:8 月 19 日消息，據NFT市場OpenSea官方數據顯示，無聊猿Bored Ape Yacht Club 的交易總量已突破 65 萬枚 ETH，截至目前約為 65.04 萬枚 ETH。另據 NFTGo.io 最新數據顯示，當前 BAYC 地板價為 69.69 ETH，24 小時下跌 2.74%，市值為 18.4 億美元，歷史交易額達到 22.1 億美元。[2022/8/19 12:35:14]

在官方演示中，GPT-4幾乎就只花了1-2秒的時間，識別了手繪網站圖片，并根據要求實時生成了網頁代碼制作出了幾乎與手繪版一樣的網站。

除了普通圖片，GPT-4還能處理更復雜的圖像信息，包括表格、考試題目截圖、論文截圖、漫畫等，例如根據專業論文直接給出論文摘要和要點。

這么強，是不是你也感覺快要失業了

Solidity開發者：“OpenSea新遷移合約疑似出現bug”是典型網絡釣魚攻擊:2月20日消息，針對“OpenSea昨日推出的新遷移合約疑似出現bug”事件，以太坊智能合約編程語言Solidity開發者foobar發推表示，黑客使用30天前部署的一個助手合約，調用4年前部署的一個操作系統合約，使用有效的atomicMatch() 數據。這可能是幾個星期前的典型網絡釣魚攻擊。而不是智能合約漏洞，代碼是安全的。

此前消息，多位用戶發現OpenSea昨日推出的新遷移合約疑似出現Bug，攻擊者正利用該Bug竊取大量 NFT并賣出套利，失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers等多種高價值系列。

OpenSea官方隨后作出回應，“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊opensea.io之外的任何鏈接。”

在此之后，gmDAO創始人Cyphr.ETH發推文稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發生的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。[2022/2/20 10:03:59]

。

OpenSea服務宕機，部分用戶反饋無法打開頁面:1月9日消息，北京時間約21:00開始，OpenSea服務宕機，部分用戶反饋無法打開頁面，或十分緩慢。[2022/1/10 8:37:11]

GPT-4可對論文進行解讀來源：OpenAI官網

用ChatGPT4審計智能合約會發生什么？

我們曾在去年12月發了一篇ChatGPT的研究文章，看看它審計智能合約會發生什么，擴展閱讀：風靡全網的「最強AI」ChatGPT，能不能檢測智能合約漏洞？

3月15日，Coinbase主管ConorGrogan在社交媒體發文稱，他已在ChatGPT-4中插入了一個實時以太坊智能合約，結果AI瞬間就找到了安全漏洞，甚至還展示了如何利用這些漏洞進行攻擊。

ConorGrogan表示，該合約的確在2018年被黑客利用漏洞攻擊，此外他還透露也嘗試了Euler的智能合約，但由于合約過長而無法被chatGPT-4處理，ConorGrogan坦言AI最終將是智能合約更安全、更容易構建。

動態 | IBM區塊鏈平臺發布針對Red Hat OpenShift的優化版本:IBM區塊鏈平臺（IBM Blockchain Platform）今天已經發布了新版本，該軟件經過了優化，可以部署在Red Hat企業Kubernetes平臺Red Hat OpenShift上。這意味著開發人員現在可以在選擇將區塊鏈網絡組件部署到本地、公共云或混合云體系結構中的位置時擁有更大的靈活性。（cryptoninjas）[2019/9/25]

也有群友說，ChatGPT似乎可以審計前兩天EulerFinance約2億美元被盜案的漏洞。相關事件閱讀：復盤EulerFinance2億美元被盜案的來龍去脈，本次事件帶給我們哪些啟示？

但是，真的有這么簡單嗎？

圖源網絡

其實與早期的GPT模型一樣，GPT-4仍然存在一定的局限性。

OpenAI官方稱，它并不完全可靠，可能會出現推理錯誤，「GPT-4缺乏對絕大多數數據切斷后發生的事件的了解，并且無法從中吸取經驗教訓……它有時會出現簡單的推理錯誤，它會輕信用戶明顯的虛假陳述，有時它會像人類一樣在難題上失敗，例如在它生成的代碼中引入安全漏洞。」

基于此，OpenAI提醒，用戶在使用語言模型時應格外小心，最好輔助以人工審查、附加上下文、或完全避免在高風險情況下使用它。

ChatGPTVSBeosinVaaS，審計合約誰更強？

Beosin的形式化驗證專家說道：「ChatGPT可以學習合約的復雜模式，從不同維度對合約進行理解分類，可幫助靜態檢測技術增強專家模式，增加可識別漏洞的種類，降低漏報率和誤報率，可輔助面向屬性的測試驗證技術與領域屬性庫進行有效鏈接，通過自動合約識別與屬性插入，實現全自動化的測試驗證。但是ChatGPT難以識別日新月異的特定領域深層邏輯漏洞，這種漏動通常是與項目需求緊密結合，需要領域安全專家作為裁判，不斷歸納總結形成領域屬性庫對合約的安全性進行裁定。」

我們也發現ChatGPT并不能解決所有的問題，比如很多漏洞還是需要審計專家嚴苛審計，或者使用形式化驗證工具BeosinVaaS才能發現問題。

BeosinVaaS作為一款全球領先的「一鍵式」智能合約形式化驗證平臺。檢測準確率高達97%以上，精確定位風險代碼位置并給出修改建議，自動檢測智能合約80余項的常規安全漏洞及功能邏輯缺陷。BeosinVaaS可自動發現智能合約中存在的常規漏洞、業務邏輯錯誤等安全問題，并給出專家的修復意見。同時支持evm，wasm的所有公鏈的智能合約的上百種常規安全漏洞和業務邏輯缺陷檢測，能精確定位風險代碼位置，幫助開發者提高智能合約的安全能力。

形式化驗證工具BeosinVaaS：https://vaas.beosin.com/

比如我們在3月15日預警的PoolzFinance的LockedDeal合約遭到攻擊事件里，攻擊者調用了LockedDeal合約中存在漏洞的函數CreateMassPools，并且在參數_StartAmount中觸發了整數溢出的漏洞，我們測試了這個漏洞能通過VaaS工具檢測出來，ChatGPT卻不行。

同時，k值校驗的深層邏輯問題ChatGPT也檢測不出。

由于Uniswap這類DEX的實際的兌換轉賬操作在Pair的swap()函數中實現，為了防止攻擊者越過Router合約直接調用Pair合約進行swap()轉賬，需要在Pair合約的swap()函數中進行K值校驗，即swap之后pair中的K值仍然守恒。如果K值檢驗相關代碼存在安全漏洞，那么攻擊者能夠以極少量的代幣兌換出Pair中大部分代幣。

合約未檢查k值的cheapSwap函數

我們通過對K值校驗問題的研究，總結了該問題的特點，提取出了該問題的通用屬性供VaaS工具使用。在此之后，我們通過節點信息的分析，提取了ETH和BSC上共14W個地址的合約信息。這些地址合約全部都是相似的業務合約，均可能存在K值校驗問題。

除了使用形式化驗證工具VaaS，Beosin形式化驗證專家還會將安全審計專家凝練出的安全問題利用嚴格的數理邏輯抽象成可重用的安全屬性不變量，并交給混合機器引擎進行自動化檢測、測試、驗證，實踐證明這些可重用的安全屬性不變量可有效發現智能合約中新的微妙漏洞。這些都是像ChatGPT這類AI無法代替的部分。

不過在美國《紐約時報》網站3月8日刊登題為《ChatGPT的成功假象》的文章里，作者寫到：「今天，我們在人工智能領域取得的所謂革命性進展的確讓人既樂觀又擔憂。令人樂觀是因為智慧是我們解決問題的手段；令人擔憂是因為我們害怕最流行和最時髦的人工智能會像病株一樣將有根本缺陷的語言和知識概念融入我們的技術，從而降低我們的科學水平并降低我們的道德規范。」

Tags：GPTPENOPENSEABGPT幣OpenLive NFTopendao幣最新價格TSSEA價格

瑞波幣