ChatGPT：鏈上安全的守護天使還是潛在惡魔?

作者：MetaTrust Labs

TL;DR

• GPT應被視為一種工具，我們需要理解其功能和局限，找到最佳使用場景和變現場景
• 利用GPT進行代碼解釋和智能合約審計，需加強監督和提高prompt精確性，避免過度依賴
• 黑客利用GPT進行攻擊也在可預見的未來，我們必須提高警惕，加強對異常行為的檢測

在數字資產安全領域，GPT已經能夠解釋複雜的區塊鏈、智能合約等安全問題，但也存在一定的局限性和風險。為了探討如何利用GPT保護數字資產安全同時防範黑客攻擊，MetaTrust Labs聯合Cointime、GoPlus Security和moledao開辦了一場安全講座，邀請了三位嘉賓分享了他們的見解和經驗，我們一起來看看都有哪些有趣的觀點。

來自MetaTrust Labs的安全專家BradMoon詳細介紹了GPT的功能和應用領域，以及在代碼解釋和交易解讀方面的優勢。GPT作為一種自然語言處理模型，具備出色的總結能力和推理能力，能夠解釋複雜的區塊鏈、智能合約等安全問題，同時能夠以非常專業和正確的方式解釋代碼，並幫助審計師和普通用戶快速理解合約的功能和行為。

因此，MetaTrust研發的MetaScan工具利用GPT技術，可以幫助開發者快速理解區塊鏈數據和交易。在MetaScan的實際應用中，通過對GPT使用肯定句的提問更容易得到準確的結果。

從安全審計角度來說，GPT最重要的一個功能就是漏洞挖掘。當我拿到一個合約，它能夠給出正確且專業的解釋，模擬審計師的思維的方式，幫助我們去發現更多潛在漏洞。

那如何借助GPT將審計師的能力下沉到普通開發者呢？很簡單，MetaScan已經具備了這樣的能力，當拿到代碼後在MetaScan中進行相應的漏洞掃描，再把掃出的結果與GPT互動，基於GPT的理解能力它會給出一個相對完善的漏洞報告，從而在BugBounty中拿下賞金。

Goplus Security的業務負責人Allen則談到了他對自動化審計的看法，並探討了其中的潛力和限制。Allen對GPT持樂觀態度，在總結歸納和邏輯推理方面GPT依舊具備強大的能力。然而，他也從中看到，GPT無法取代自動化審計成為主要角色，因為它的審計和推理能力主要基於已有的知識，並不適用於某些複雜的問題。Allen強調了動態分析的重要性，並提到了對GPT進行改造，使其具備像黑客一樣的行為。通過預先提供攻擊訓練和過去的攻擊案例，GPT能夠最大程度地提高攻擊的覆蓋率，找到代碼中可能被攻擊的路徑並報告。在動態分析方面，GPT將更能很好地發揮作用。

moledao的Co-Builder Iris對使用GPT進行自動化審計的可實現性和相關安全風險發表了看法。雖然GPT作為一個工具本身是中立的和基於良善的，但在錯誤使用的情況下可能產生不好的後果。一些惡意行為可以通過繞過限制來利用GPT進行破壞活動。

GPT一方面讓黑客進化，另一方面也在賦能開發者，使用MetaScan工具來提高prompt的精確性，並利用大量的歷史數據訓練GPT成為更加專業的代碼審計師。

此外，GPT在社會工程學方面潛在一定風險，因為它能夠生成具有連貫性和令人信服的網絡釣魚郵件，甚至採用獨特的語氣和寫作風格。在如何妥善利用GPT和鑑別編局上，我們還是應當更加謹慎。

區塊鏈技術和應用迅速發展,安全問題也日益凸顯。GPT的出現為區塊鏈資產安全帶來了新的可能性，如何正確使用GPT，發揮其優勢彌補不足，並應對潛在威脅，各個環節都需要行業共同努力才能賦能開發者，守護鏈上安全。

MetaScan現已開放免費試用，立即開啟你的安全護盾。