Chaque jour de la semaine, nous mettons en avant un cas d’utilisation authentique, sans conneries et sans battage publicitaire, de l’IA dans la cryptographie. Aujourd’hui, c’est le potentiel d’utilisation de l’IA pour l’audit des contrats intelligents et la cybersécurité, nous en sommes si proches et pourtant si loin.
L’un des principaux cas d’utilisation de l’IA et de la cryptographie à l’avenir consiste à auditer les contrats intelligents et à identifier les failles de cybersécurité. Il n’y a qu’un seul problème : pour le moment, GPT-4 est nul.
Coinbase a testé les capacités de ChatGPT pour les examens automatisés de la sécurité des jetons plus tôt cette année et, dans 25 % des cas, il a classé à tort les jetons à haut risque comme à faible risque.
James Edwards, responsable principal de l’enquêteur en cybersécurité Librehash, estime qu’OpenAI n’aime pas que le robot soit utilisé pour des tâches comme celle-ci.
« Je crois fermement qu’OpenAI a discrètement réduit certaines capacités du bot en matière de contrats intelligents, afin que les gens ne comptent pas explicitement sur leur bot pour rédiger un contrat intelligent déployable », dit-il, expliquant qu’OpenAI ne le fait probablement pas. Je ne veux pas être tenu responsable de toute vulnérabilité ou exploit.
Cela ne veut pas dire que l’IA n’a aucune capacité en matière de contrats intelligents. AI Eye s’est entretenu avec l’artiste numérique de Melbourne Rhett Mankind en mai. Il ne savait rien du tout sur la création de contrats intelligents, mais grâce à des essais et des erreurs et à de nombreuses réécritures, il a réussi à convaincre ChatGPT de créer un memecoin appelé Turbo qui a ensuite atteint une capitalisation boursière de 100 millions de dollars.
Mais comme le souligne Kang Li, responsable de la sécurité de CertiK, même si vous pouvez obtenir quelque chose qui fonctionne avec l’aide de ChatGPT, il est probable qu’il regorge de bogues de code logiques et d’exploits potentiels :
« Vous écrivez quelque chose et ChatGPT vous aide à le construire, mais à cause de tous ces défauts de conception, il peut échouer lamentablement lorsque des attaquants commencent à arriver. »
Ce n’est donc certainement pas suffisant pour un audit de contrat intelligent en solo, dans lequel une infime erreur peut drainer un projet de dizaines de millions – bien que Li affirme que cela peut être « un outil utile pour les personnes effectuant des analyses de code ».
Richard Ma de la société de sécurité blockchain Quantstamp explique qu’un problème majeur à l’heure actuelle avec sa capacité à auditer les contrats intelligents est que les données de formation de GPT -4 sont beaucoup trop générales.
A lire aussi : Cas d’utilisation réels de l’IA en crypto, n° 1 — Le meilleur argent pour l’IA est la crypto
« Comme ChatGPT est formé sur de nombreux serveurs et qu’il y a très peu de données sur les contrats intelligents, il est meilleur pour pirater des serveurs que pour des contrats intelligents », explique-t-il.
La course est donc lancée pour former des modèles avec des années de données sur les exploits et les piratages de contrats intelligents afin qu’ils puissent apprendre à les repérer.
Lire aussi
Caractéristiques
Piratage cryptographique nord-coréen : séparer les faits de la fiction
Caractéristiques
Un investissement dans la connaissance rapporte le meilleur intérêt : l’état préoccupant de l’éducation financière
« Il existe des modèles plus récents dans lesquels vous pouvez saisir vos propres données, et c’est en partie ce que nous avons fait », dit-il.
« Nous disposons d’une très grande base de données interne de tous les différents types d’exploits. J’ai créé une entreprise il y a plus de six ans et nous suivons tous les différents types de piratages. Ces données sont donc précieuses pour pouvoir entraîner l’IA.
La course est lancée pour créer un auditeur de contrats intelligents IA
Edwards travaille sur un projet similaire et a presque fini de créer un modèle d’IA WizardCoder open source qui intègre le référentiel du projet Mando de vulnérabilités de contrats intelligents. Il utilise également le modèle de langages de programmation pré-entraînés CodeBert de Microsoft pour aider à détecter les problèmes.
Selon Edwards, lors des tests effectués jusqu’à présent, l’IA a été capable de « vérifier les contrats avec une précision sans précédent qui dépasse de loin ce à quoi on pourrait s’attendre et ce qu’on pourrait recevoir de GPT-4 ».
L’essentiel du travail a consisté à créer un ensemble de données personnalisées d’exploits de contrats intelligents qui identifient la vulnérabilité jusqu’aux lignes de code responsables. La prochaine grande astuce consiste à entraîner le modèle à repérer les modèles et les similitudes.
« Idéalement, vous voulez que le modèle soit capable de reconstituer des connexions entre les fonctions, les variables, le contexte, etc., qu’un être humain ne pourrait peut-être pas établir en examinant les mêmes données. »
Même s’il admet que ce n’est pas encore aussi performant qu’un auditeur humain, il peut déjà faire un premier pas en avant pour accélérer le travail de l’auditeur et le rendre plus complet.
« Une sorte d’aide à la manière dont LexisNexis aide un avocat. Mais encore plus efficace », dit-il.
Ne croyez pas le battage médiatique
Le co-fondateur de Near, Illia Polushkin, explique que les exploits des contrats intelligents sont souvent des cas bizarrement spécialisés, une chance sur un milliard qui aboutit à un comportement inattendu d’un contrat intelligent.
Mais les LLM, qui reposent sur la prédiction du mot suivant, abordent le problème dans la direction opposée, explique Polushkin.
« Les modèles actuels tentent de trouver le résultat le plus statistiquement possible, n’est-ce pas ? Et lorsque vous pensez aux contrats intelligents ou à l’ingénierie des protocoles, vous devez penser à tous les cas extrêmes », explique-t-il.
Polushkin dit que son expérience en programmation compétitive signifie que lorsque Near se concentrait sur l’IA, l’équipe a développé des procédures pour tenter d’identifier ces événements rares.
« Il s’agissait de procédures de recherche plus formelles autour de la sortie du code. Je ne pense donc pas que ce soit complètement impossible, et il y a maintenant des startups qui investissent vraiment dans le travail avec le code et dans son exactitude », dit-il.
Mais Polushkin ne pense pas que l’IA sera aussi performante que les humains en matière d’audit au cours « des deux prochaines années ». Cela va prendre un peu plus de temps.
A lire aussi : Cas d’utilisation réels de l’IA en cryptographie, n° 2 — Les IA peuvent exécuter des DAO
S’abonner
Les lectures les plus engageantes de la blockchain. Livré une fois par semaine.
Andrew Fenton
Basé à Melbourne, Andrew Fenton est journaliste et rédacteur en chef spécialisé dans les crypto-monnaies et la blockchain. Il a travaillé comme écrivain de divertissement national pour News Corp Australia, sur SA Weekend en tant que journaliste de cinéma et au Melbourne Weekly.
Suivez l’auteur @andrewfenton