智能化的合约审计期间,人工智能工具时常出现误报或者漏报的状况,面对充满复杂性的去中心化金融协议时更是这般。不少人对人工智能能否取代人工审计提出疑问,实际情形究竟如何呢?本文凭借真实的案例为你揭晓答案。
三种审计模式各有分工
具备Skill增强功能的AI基线检查,以及人工深度审计,还有形式化验证,这三者共同构成了完整的三审计模式。其中,AI专门负责快速扫描已知的漏洞模式,人工致力于深度理解协议的整体设计,而形式化验证是从数学层面证明关键属性。
AI审计具备的优势是速度快,且覆盖全,能够在一小时之内扫描完数千行代码。然而,它仅仅能够识别训练数据里出现过的漏洞模式,对于那些需要进行跨合约推理的复杂问题,目前AI还难以有效地进行处理。
人工审计耗时比较长,一般得需要几天,甚至是几周,不过专家能够从攻击人员的角度去剖析潜在的风险。形式化验证是最为严格的,依靠数学证明来保证关键逻辑不出现错误,然而成本也是最高的。
简单合约AI表现不错
测试选取了一类合约,这类合约逻辑独立且简单,其功能边界清晰无比,不存在跨合约交互状况。此合约场景乃是AI训练数据最为充足的情境,在该情境里标准代币合约于训练集中数量庞大,其规则性漏洞特征极为显著。
在扫描期间,AI精准无误地察觉到了诸如版本陈旧、状态变量暴露形式等常见的代码规范方面的问题。其对于低危以及建议项的准确程度颇高,这些所发现的内容对于开发者具备一定的参考意义,能够直接被运用于代码的优化之上。
在对权限结构合理与否进行判断之际,AI遭遇了难题。权限设计的合理性,从根本上来说,是取决于项目的业务模型的,并非代码自身哟,而AI缺少这一层次的语境,所以只能依靠模式匹配来给出判断啦。
复杂合约暴露AI短板
还有一类测试案例所关联的是多合约交互以及复杂状态机,此情形乃行业探讨AI能不能取代人工之际的高风险场景。经过测试,得出的结果表明,AI于复杂合约里的表现显著出现了下降。
已知漏洞模式被AI成功发现了一些,而对于那些需要跨组件状态路径进行推理的漏洞,几乎是全部作揖漏报了这些漏洞有着共同特点,那就是依赖对协议整体设计逻辑的理解,并非是对单一函数的模式匹配句号。
存在这样一种情况,即当漏洞触发的条件,跨越了多个合约,跨越了多个状态,跨越了多个调用层级的时候,在此情形下,AI目前所具备的推理能力,是完全没办法覆盖到相应状况的。有一个典型的例子,那便是闪电贷攻击,攻击时其路径涉及到了五六个合约的调用顺序,对于这种情况,AI是无法自动将这些步骤串联起来的。
Skill库让AI更懂业务
为处理 AI 不理解业务这一问题,业界推出了 Skill 机制,于通用大模型之上,注入面向智能合约安全的专项知识库,以及检测规则与业务上下文,以使模型具备更明晰的判断依据。
每条Skill库中的规则,都涵盖着漏洞模式、攻击路径、根本成因以及修复建议,具备四个维度。整个Skill库,会伴随每次新型攻击事件的出现来持续迭代,以此确保与链上真实威胁环境实现同步。
并非只是漏洞特征库,审计流程里还增添了一项关键能力,即把项目的白皮书作为额外的输入内容,使得AI去验证代码实现与白皮书设计的一致性。要是白皮书中阐述了权限结构的设计意图,那么AI就会依照此来进行调整判断,从而能有效减少误报。
人工审计依然不可替代
人工审计的关键优势在于,能够对协议的整体设计有着深入的理解,由经验丰富的审计专家来负责验证跨合约交互逻辑,去分析资金安全攻击面,进而分析极端市场条件下的协议行为。
有一类复杂问题,涉及多合约交互,关乎经济模型分析,还包含新型攻击手法,对于这类,人工审计依旧没办法被替代。AI去处理这类问题之际,会由于缺少对整体业务逻辑的理解,进而产生偏差。
在具体的操作情形当中,工具链是以所积累下来的审计语料库作为知识方面的底座,针对人工予以确认的高风险路径开展攻击面建模的工作。而AI扫描所负责处理的,则是去梳理那些在当下并不会造成直接损失,然而在后续阶段有可能会演变成隐患的各类问题,像过时的依赖库、缺失关键事件声明等情况。
三审计模式的实际效果
综合上述的两个案例来进行观察与分析的话,AI审计并非是完全没有任何价值的,它在对于已知漏洞模式的覆盖方面,以及代码规范检查这一方面,均是具有实质意义上的贡献的,能够将初步扫描的质量提高至能够达到真正具备实际效用的水平。
Skill的功用在于给人工审计供应更具价值的初始成果,并非去制造一堆得反复甄别其无效性的告警。在AI能够处理的范畴之内,像识别常见漏洞模式以及有限度地理解业务逻辑这种情况,Skill机制能够显著提高准确率。
合约审计以人工审计与形式化验证相结合为基础,着重找出那些已具备致使资金损失可能性的问题。与此同时,引入借助Skill加以强化的AI基线检查,用以助力客户在更早阶段察觉那些当下仍属缺陷、尚未引发实际危害的代码问题。
读完这篇文章之后,你认为你的项目是适宜采用AI审计呢,还是绝对需要聘请人工审计团队呢,欢迎于评论区去分享你的看法,与此同时点赞转发从而让更多的人知晓智能合约审计的实际情形。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
