jeudi, décembre 19, 2024

Des expériences montrent que l’IA pourrait aider à auditer les contrats intelligents, mais pas encore

Alors que l’intelligence artificielle (IA) a déjà transformé une myriade d’industries, de la santé et de l’automobile au marketing et à la finance, son potentiel est maintenant mis à l’épreuve dans l’un des domaines les plus cruciaux de l’industrie de la blockchain : la sécurité des contrats intelligents.

De nombreux tests ont montré un grand potentiel pour les audits de blockchain basés sur l’IA, mais cette technologie naissante manque encore de certaines qualités importantes inhérentes aux professionnels humains – l’intuition, le jugement nuancé et l’expertise du sujet.

Ma propre organisation, OpenZeppelin, a récemment mené une série d’expériences soulignant la valeur de l’IA dans la détection des vulnérabilités. Cela a été fait en utilisant le dernier modèle GPT-4 d’OpenAI pour identifier les problèmes de sécurité dans les contrats intelligents Solidity. Le code testé provient du Éthernaute jeu Web intelligent de piratage de contrats – conçu pour aider les auditeurs à apprendre à rechercher des exploits. Au cours des expériences, GPT-4 a identifié avec succès des vulnérabilités dans 20 des 28 défis.

En rapport: Bouclez votre ceinture, Reddit : les API fermées coûtent plus cher que prévu

Dans certains cas, fournir simplement le code et demander si le contrat contenait une vulnérabilité produirait des résultats précis, comme avec le problème de nommage suivant avec la fonction constructeur :

ChatGPT analyse un contrat intelligent. Source : Open Zeppelin

À d’autres moments, les résultats étaient plus mitigés ou carrément médiocres. Parfois, l’IA aurait besoin d’être invitée à répondre correctement en fournissant une question quelque peu suggestive, telle que « Pouvez-vous modifier l’adresse de la bibliothèque dans le contrat précédent ? » Au pire, GPT-4 ne parviendrait pas à trouver une vulnérabilité, même lorsque les choses étaient assez clairement énoncées, comme dans « La porte un et la porte deux peuvent être transmises si vous appelez la fonction depuis l’intérieur d’un constructeur, comment pouvez-vous saisir le contrat intelligent GatekeeperTwo maintenant ? » À un moment donné, l’IA a même inventé une vulnérabilité qui n’était pas réellement présente.

Cela met en évidence les limites actuelles de cette technologie. Pourtant, GPT-4 a fait des progrès notables par rapport à son prédécesseur, GPT-3.5, le grand modèle de langage (LLM) utilisé lors du lancement initial de ChatGPT par OpenAI. En décembre 2022, des expériences avec ChatGPT ont montré que le modèle ne pouvait résoudre avec succès que cinq niveaux sur 26. GPT-4 et GPT-3.5 ont été formés sur des données jusqu’en septembre 2021 en utilisant l’apprentissage par renforcement à partir de la rétroaction humaine, une technique qui implique une boucle de rétroaction humaine pour améliorer un modèle de langage pendant la formation.

Coinbase effectué des expériences similaires, donnant un résultat comparatif. Cette expérience a utilisé ChatGPT pour examiner la sécurité des jetons. Bien que l’IA ait pu refléter les révisions manuelles d’une grande partie des contrats intelligents, elle a eu du mal à fournir des résultats pour les autres. En outre, Coinbase a également cité quelques exemples de ChatGPT étiquetant les actifs à haut risque comme étant à faible risque.

En rapport: Ne soyez pas naïf – l’ETF de BlackRock ne sera pas optimiste pour Bitcoin

Il est important de noter que ChatGPT et GPT-4 sont des LLM développés pour le traitement du langage naturel, les conversations de type humain et la génération de texte plutôt que la détection de vulnérabilité. Avec suffisamment d’exemples de vulnérabilités de contrats intelligents, il est possible pour un LLM d’acquérir les connaissances et les modèles nécessaires pour reconnaître les vulnérabilités.

Cependant, si nous voulons des solutions plus ciblées et plus fiables pour la détection des vulnérabilités, un modèle d’apprentissage automatique formé exclusivement sur des ensembles de données de vulnérabilité de haute qualité produirait très probablement des résultats supérieurs. Les données de formation et les modèles personnalisés pour des objectifs spécifiques conduisent à des améliorations plus rapides et à des résultats plus précis.

Par exemple, l’équipe d’intelligence artificielle d’OpenZeppelin a récemment créé un modèle d’apprentissage automatique personnalisé pour détecter les attaques de réentrance, une forme courante d’exploitation qui peut se produire lorsque des contrats intelligents effectuent des appels externes vers d’autres contrats. Les premiers résultats d’évaluation montrent des performances supérieures par rapport aux outils de sécurité leaders du secteur, avec un taux de faux positifs inférieur à 1 %.

Trouver un équilibre entre IA et expertise humaine

Jusqu’à présent, les expériences montrent que si les modèles d’IA actuels peuvent être un outil utile pour identifier les vulnérabilités de sécurité, il est peu probable qu’ils remplacent le jugement nuancé et l’expertise du sujet des professionnels de la sécurité humaine. GPT-4 s’appuie principalement sur des données accessibles au public jusqu’en 2021 et ne peut donc pas identifier des vulnérabilités complexes ou uniques au-delà de la portée de ses données de formation. Compte tenu de l’évolution rapide de la blockchain, il est essentiel que les développeurs continuent de se renseigner sur les dernières avancées et les vulnérabilités potentielles au sein de l’industrie.

À l’avenir, l’avenir de la sécurité des contrats intelligents impliquera probablement une collaboration entre l’expertise humaine et l’amélioration constante des outils d’IA. La défense la plus efficace contre les cybercriminels armés d’IA consistera à utiliser l’IA pour identifier les vulnérabilités les plus courantes et les plus connues, tandis que les experts humains suivront les dernières avancées et mettront à jour les solutions d’IA en conséquence. Au-delà du domaine de la cybersécurité, les efforts combinés de l’IA et de la blockchain auront de nombreuses autres solutions positives et révolutionnaires.

L’IA seule ne remplacera pas les humains. Cependant, les auditeurs humains qui apprennent à tirer parti des outils d’IA seront beaucoup plus efficaces que les auditeurs fermant les yeux sur cette technologie émergente.

Mariko Wakabayashi est le responsable de l’apprentissage automatique chez OpenZeppelin. Elle est responsable des initiatives appliquées d’IA/ML et de données chez OpenZeppelin et le réseau Forta. Mariko a créé l’API publique de Forta Network et a dirigé des projets de partage de données et open source. Son système d’IA à Forta a détecté plus de 300 millions de dollars de hacks de blockchain en temps réel avant qu’ils ne se produisent.

Cet article est à des fins d’information générale et n’est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou d’investissement. Les vues, pensées et opinions exprimées ici sont celles de l’auteur seul et ne reflètent pas ou ne représentent pas nécessairement les vues et opinions de Cointelegraph.

source site-11

- Advertisement -

Latest