実験によると、AIはスマートコントラクトの監査に役立つ可能性がありますが、まだ完璧ではありません

AIはスマートコントラクトの監査に役立つ可能性があるが、完璧ではないという実験結果が示されました

人工知能（AI）はすでに、医療、自動車、マーケティング、金融など、さまざまな産業を変革してきましたが、その潜在能力は今やブロックチェーン業界でも最も重要な分野であるスマートコントラクトのセキュリティにおいて試されています。

数々のテストは、AIを利用したブロックチェーン監査の大きなポテンシャルを示していますが、この新興技術にはまだ、人間の専門家に固有の直感、微妙な判断力、専門知識といった重要な要素が欠けています。

私たちの組織であるOpenZeppelinは最近、AIの価値を示す一連の実験を行いました。これには、OpenAIの最新のGPT-4モデルを使用して、Solidityスマートコントラクトのセキュリティの問題を特定することが含まれています。テストされたコードは、監査人がエクスプロイトを探す方法を学ぶために設計されたEthernautスマートコントラクトハッキングウェブゲームから取得されました。実験中、GPT-4は28の課題のうち20個の脆弱性を正しく特定することができました。

関連記事： Redditに注意：クローズドAPIは予想以上のコストがかかる

• ティム・ドレイパー氏は、まだビットコインが25万ドルに達すると考えています-ただし、彼の予想より2年遅れています
• IMFは、気候変動、DAO、CBDCをマーシャル諸島にとっての脅威と見なし、改革を求めています
• Paxfulの元CEOがユーザーに「取引を停止するよう警告」、彼らの資金は危険にさらされているのか？

いくつかの場合では、コードを提供し、契約に脆弱性が含まれているかどうかを尋ねるだけで正確な結果が得られました。次のようなコンストラクタ関数の命名の問題などが該当します：

その他の場合では、結果はより混在していたり完全に不十分であったりしました。AIが正しい回答をするために、いくぶん導く質問を提供する必要がある場合もあります。「前の契約でライブラリのアドレスを変更できますか？」といった具体的な質問をすると、AIは成功することがあります。AIの最悪の場合、明らかに説明されたにもかかわらず、脆弱性を特定できず、「Gate oneとGate twoは、コンストラクタ内から関数を呼び出すと通過できます。どのようにしてGatekeeperTwoスマートコントラクトに入ることができますか？」といった場合です。AIは、実際には存在しない脆弱性を発明することさえありました。

これは、現在の技術の制約を示しています。それにもかかわらず、GPT-4は前任であるGPT-3.5に比べて notable な進歩を遂げています。ChatGPTの初回リリース時に利用された大規模言語モデル（LLM）であるGPT-3.5と同様に、GPT-4も、人間のフィードバックによる強化学習を用いて、2021年9月までのデータを用いてトレーニングされました。

Coinbaseも同様の実験を行い、比較的な結果を得ています。この実験では、ChatGPTを利用してトークンのセキュリティをレビューしました。AIは、多くのスマートコントラクトについて、手動のレビューと同様の結果を示しましたが、他のスマートコントラクトについては結果が得られない場合もありました。さらに、Coinbaseは、ChatGPTがハイリスク資産をローリスクとして分類する場合もいくつか報告しています。

関連記事： 単純に考えるな — ブラックロックのETFはビットコインには上昇トレンドをもたらさない

重要なのは、ChatGPTとGPT-4は、脆弱性の検出ではなく、自然言語処理、人間のような対話、テキスト生成のために開発されたLLMであるということです。十分なスマートコントラクトの脆弱性の例があれば、LLMは脆弱性を認識するために必要な知識とパターンを獲得することができます。

ただし、脆弱性の検出に対してより具体的で信頼性の高いソリューションを求める場合は、高品質の脆弱性データセットに基づいて独自にトレーニングされた機械学習モデルの方が、おそらく優れた結果を生み出すでしょう。特定の目的にカスタマイズされたトレーニングデータとモデルは、より速い改善とより正確な結果につながります。

たとえば、OpenZeppelinのAIチームは最近、再入攻撃を検出するためのカスタム機械学習モデルを開発しました。再入攻撃は、スマートコントラクトが他の契約に対して外部呼び出しを行う場合に発生する一般的なエクスプロイトの形態です。初期の評価結果は、業界をリードするセキュリティツールと比較して、誤検知率が1%以下で優れた性能を示しています。

AIと人間の専門知識のバランスを取る

これまでの実験からわかるように、現在のAIモデルはセキュリティの脆弱性を特定するのに役立つツールである一方で、人間のセキュリティ専門家の微妙な判断力と専門知識を置き換えることは難しいと考えられます。GPT-4は主に2021年までの公開データを利用しており、そのトレーニングデータの範囲を超える複雑なまたはユニークな脆弱性を特定することはできません。ブロックチェーンの急速な進化を考えると、開発者が業界内の最新の進歩と潜在的な脆弱性について学び続けることが重要です。

先を見据えると、スマートコントラクトのセキュリティの未来は、人間の専門知識と絶えず改善されるAIツールの協力によって実現されるでしょう。AIを武器にしたサイバー犯罪者に対する最も効果的な防御策は、AIを使用して最も一般的でよく知られた脆弱性を特定し、人間の専門家が最新の進展に追いつき、AIソリューションを適宜更新することです。サイバーセキュリティの領域を超えて、AIとブロックチェーンの共同の努力によって、さらに多くのポジティブで画期的な解決策が生まれるでしょう。

AIだけでは人間を置き換えることはありません。しかし、AIツールを活用することを学ぶ人間の監査人は、新興技術に目を向けない監査人よりもはるかに効果的であるでしょう。

We will continue to update Kocoo; if you have any questions or suggestions, please contact us!