OPEN:OpenAI 推出“王炸”產品 GPT-4，能不能完整檢測智能合約漏洞？_Generative GPT

作者：Beosin

北京時間3月15日凌晨，人工智能初創公司OpenAI正式公布最新一代人工智能語言模型GPT-4。

OpenAI在當天的聲明中稱，GPT-4的誕生，是OpenAI在放大深度學習方面的最新里程碑。

那現在進化后的GPT-4，又會帶給我們哪些驚喜？

進化后的GPT-4，到底有多「炸」？

根據OpenAI官方的介紹，GPT-4是一個超大的多模態模型，也就是說，它的輸入可以是文字，還可以是圖像。

其AI能力的恐怖之處體現在哪呢？比如下面這張照片。

你問它下圖中手套掉下去會怎樣？

它會回答：它會掉到木板上，并且球會被彈飛。

甚至只需要簡單在紙上畫一個網站的草稿圖，他就可以識別該網站。

OpenAI正為ChatGPT添加插件支持，允許使用第三方服務:3月24日消息，OpenAI 宣布正在為 ChatGPT 添加對插件支持，插件是專門為以安全為核心原則的語言模型設計的工具，可幫助 ChatGPT 聯網訪問最新信息、運行計算或使用第三方服務。

OpenAI 已開放第一批 ChatGPT 插件名單，這批插件由 Expedia、FiscalNote、Instacart、KAYAK、Klarna、Milo、OpenTable、Shopify、Slack、Speak、Wolfram 和 Zapier 創建。OpenAI 表示，將開始把插件 Alpha 訪問權限擴展到候補名單中的用戶和開發人員。

檢索插件允許ChatGPT搜索內容矢量數據庫，并將最佳結果添加到 ChatGPT 會話中。這意味著它沒有任何外部影響，主要風險是數據授權和隱私。[2023/3/24 13:23:50]

拍一張照片上傳給GPT-4，它就可以立馬生成網站的HTML代碼！

可見，GPT-4比GPT-3.5，更可靠、更有創造力，能夠處理更細微的指令。

DeFi借貸協議OpenLeverage發起將協議部署至Arbitrum的提案:2月7日，據官方消息，DeFi 借貸協議 OpenLeverage 發起將協議部署至 Arbitrum 的提案，提案稱，OpenLeverage 作為多鏈無許可保證金交易協議，應部署在 Arbitrum 上，以幫助用戶獲得更多的交易機會。[2023/2/7 11:52:16]

除此之外，ChatGPT-4在內容準確性以及邏輯能力相比上一代也要提升不少，在統一律師考試中，GPT-4成績超過90%其它人，而GPT-3.5的成績只超過10%的人，GPP-4在SATMath獲得700分，GPT-3.5的成績為590分，提升了110分。在其它標準化考試中，GPT-4的成績也都比GPT-3.5優秀不少。

在官方演示中，GPT-4幾乎就只花了1-2秒的時間，識別了手繪網站圖片，并根據要求實時生成了網頁代碼制作出了幾乎與手繪版一樣的網站。

除了普通圖片，GPT-4還能處理更復雜的圖像信息，包括表格、考試題目截圖、論文截圖、漫畫等，例如根據專業論文直接給出論文摘要和要點。

Tether宣布與打擊在線兒童性虐待材料的全球網絡INHOPE達成合作:金色財經報道，Tether宣布與打擊在線兒童性虐待材料 (CSAM) 的全球網絡INHOPE達成合作。Tether將與INHOPE合作共享信息，促進利益相關者之間的對話，并采取行動將不良行為者趕出加密生態系統。[2023/1/27 11:31:26]

這么強，是不是你也感覺快要失業了

。

GPT-4可對論文進行解讀來源：OpenAI官網

用ChatGPT4審計智能合約會發生什么？

我們曾在去年12月發了一篇ChatGPT的研究文章，看看它審計智能合約會發生什么，擴展閱讀：風靡全網的「最強AI」ChatGPT，能不能檢測智能合約漏洞？

3月15日，Coinbase主管ConorGrogan在社交媒體發文稱，他已在ChatGPT-4中插入了一個實時以太坊智能合約，結果AI瞬間就找到了安全漏洞，甚至還展示了如何利用這些漏洞進行攻擊。

OpenSea推出批量購買“Sweep”功能，單筆交易可支持30個NFT:金色財經報道，據 OpenSea 官方，該 NFT 市場已推出了批量 NFT 購買功能“Sweep”，允許用戶在單筆交易中掃描最多 30 個 NFT，這樣用戶就不再需要依賴第三方聚合器來進行批量購買并且能夠有效節省 gas 費用。根據 OpenSea 發布的演示視頻，該功能支持掃描匯總多個 NFT 項目，用戶將 NFT 添加到“購物車”后滑動滑塊即可匯總并顯示價格，之后即可執行批量購買操作。[2023/1/10 11:04:00]

ConorGrogan表示，該合約的確在2018年被黑客利用漏洞攻擊，此外他還透露也嘗試了Euler的智能合約，但由于合約過長而無法被chatGPT-4處理，ConorGrogan坦言AI最終將是智能合約更安全、更容易構建。

9x9x9：SOS是元宇宙核心資產，2天25萬地址已超越OpenSea月活用戶:金色財經報道，網傳OpenDAO項目背后創始人9x9x9表示，SOS更多是元宇宙里面的一個核心資產。未來NFT交易所，游戲，協議也許都會使用SOS作為治理代幣或者雙幣體系。同時項目方也會拼命的去買SOS操縱openDAO投票+賄賂veSOS持有者投票，好比veCRV一樣。2天超過25萬地址已經超越了OpenSea月活用戶。[2021/12/27 8:07:41]

也有群友說，ChatGPT似乎可以審計前兩天EulerFinance約2億美元被盜案的漏洞。相關事件閱讀：復盤EulerFinance2億美元被盜案的來龍去脈，本次事件帶給我們哪些啟示？

但是，真的有這么簡單嗎？

圖源網絡

其實與早期的GPT模型一樣，GPT-4仍然存在一定的局限性。

OpenAI官方稱，它并不完全可靠，可能會出現推理錯誤，「GPT-4缺乏對絕大多數數據切斷后發生的事件的了解，并且無法從中吸取經驗教訓……它有時會出現簡單的推理錯誤，它會輕信用戶明顯的虛假陳述，有時它會像人類一樣在難題上失敗，例如在它生成的代碼中引入安全漏洞。」

基于此，OpenAI提醒，用戶在使用語言模型時應格外小心，最好輔助以人工審查、附加上下文、或完全避免在高風險情況下使用它。

ChatGPTVSBeosinVaaS，審計合約誰更強？

Beosin的形式化驗證專家說道：「ChatGPT可以學習合約的復雜模式，從不同維度對合約進行理解分類，可幫助靜態檢測技術增強專家模式，增加可識別漏洞的種類，降低漏報率和誤報率，可輔助面向屬性的測試驗證技術與領域屬性庫進行有效鏈接，通過自動合約識別與屬性插入，實現全自動化的測試驗證。但是ChatGPT難以識別日新月異的特定領域深層邏輯漏洞，這種漏動通常是與項目需求緊密結合，需要領域安全專家作為裁判，不斷歸納總結形成領域屬性庫對合約的安全性進行裁定。」

我們也發現ChatGPT并不能解決所有的問題，比如很多漏洞還是需要審計專家嚴苛審計，或者使用形式化驗證工具BeosinVaaS才能發現問題。

BeosinVaaS作為一款全球領先的「一鍵式」智能合約形式化驗證平臺。檢測準確率高達97%以上，精確定位風險代碼位置并給出修改建議，自動檢測智能合約80余項的常規安全漏洞及功能邏輯缺陷。BeosinVaaS可自動發現智能合約中存在的常規漏洞、業務邏輯錯誤等安全問題，并給出專家的修復意見。同時支持evm，wasm的所有公鏈的智能合約的上百種常規安全漏洞和業務邏輯缺陷檢測，能精確定位風險代碼位置，幫助開發者提高智能合約的安全能力。

形式化驗證工具BeosinVaaS：https://vaas.beosin.com/

比如我們在3月15日預警的PoolzFinance的LockedDeal合約遭到攻擊事件里，攻擊者調用了LockedDeal合約中存在漏洞的函數CreateMassPools，并且在參數_StartAmount中觸發了整數溢出的漏洞，我們測試了這個漏洞能通過VaaS工具檢測出來，ChatGPT卻不行。

同時，k值校驗的深層邏輯問題ChatGPT也檢測不出。

由于Uniswap這類DEX的實際的兌換轉賬操作在Pair的swap()函數中實現，為了防止攻擊者越過Router合約直接調用Pair合約進行swap()轉賬，需要在Pair合約的swap()函數中進行K值校驗，即swap之后pair中的K值仍然守恒。如果K值檢驗相關代碼存在安全漏洞，那么攻擊者能夠以極少量的代幣兌換出Pair中大部分代幣。

合約未檢查k值的cheapSwap函數

我們通過對K值校驗問題的研究，總結了該問題的特點，提取出了該問題的通用屬性供VaaS工具使用。在此之后，我們通過節點信息的分析，提取了ETH和BSC上共14W個地址的合約信息。這些地址合約全部都是相似的業務合約，均可能存在K值校驗問題。

除了使用形式化驗證工具VaaS，Beosin形式化驗證專家還會將安全審計專家凝練出的安全問題利用嚴格的數理邏輯抽象成可重用的安全屬性不變量，并交給混合機器引擎進行自動化檢測、測試、驗證，實踐證明這些可重用的安全屬性不變量可有效發現智能合約中新的微妙漏洞。這些都是像ChatGPT這類AI無法代替的部分。

不過在美國《紐約時報》網站3月8日刊登題為《ChatGPT的成功假象》的文章里，作者寫到：「今天，我們在人工智能領域取得的所謂革命性進展的確讓人既樂觀又擔憂。令人樂觀是因為智慧是我們解決問題的手段；令人擔憂是因為我們害怕最流行和最時髦的人工智能會像病株一樣將有根本缺陷的語言和知識概念融入我們的技術，從而降低我們的科學水平并降低我們的道德規范。」

Tags：GPTOPENPENHATGenerative GPTopenaurumOpen Proprietary ProtocolHATCHY

抹茶交易所