ChatGPT：链上安全的守护天使还是潜在恶魔?

作者：MetaTrust Labs

TL;DR

• GPT应被视为一种工具，我们需要理解其功能和局限，找到最佳使用场景和变现场景
• 利用GPT进行代码解释和智能合约审计，需加强监督和提高prompt精确性，避免过度依赖
• 黑客利用GPT进行攻击也在可预见的未来，我们必须提高警惕，加强对异常行为的检测

在数字资产安全领域，GPT已经能够解释复杂的区块链、智能合约等安全问题，但也存在一定的局限性和风险。为了探讨如何利用GPT保护数字资产安全同时防范黑客攻击，MetaTrust Labs联合Cointime、GoPlus Security和moledao开办了一场安全讲座，邀请了三位嘉宾分享了他们的见解和经验，我们一起来看看都有哪些有趣的观点。

来自MetaTrust Labs的安全专家BradMoon详细介绍了GPT的功能和应用领域，以及在代码解释和交易解读方面的优势。GPT作为一种自然语言处理模型，具备出色的总结能力和推理能力，能够解释复杂的区块链、智能合约等安全问题，同时能够以非常专业和正确的方式解释代码，并帮助审计师和普通用户快速理解合约的功能和行为。

因此，MetaTrust研发的MetaScan工具利用GPT技术，可以帮助开发者快速理解区块链数据和交易。在MetaScan的实际应用中，通过对GPT使用肯定句的提问更容易得到准确的结果。

从安全审计角度来说，GPT最重要的一个功能就是漏洞挖掘。当我拿到一个合约，它能够给出正确且专业的解释，模拟审计师的思维的方式，帮助我们去发现更多潜在漏洞。

那如何借助GPT将审计师的能力下沉到普通开发者呢？很简单，MetaScan已经具备了这样的能力，当拿到代码后在MetaScan中进行相应的漏洞扫描，再把扫出的结果与GPT交互，基于GPT的理解能力它会给出一个相对完善的漏洞报告，从而在BugBounty中拿下赏金。

Goplus Security的业务负责人Allen则谈到了他对自动化审计的看法，并探讨了其中的潜力和限制。Allen对GPT持乐观态度，在总结归纳和逻辑推理方面GPT依旧具备强大的能力。然而，他也从中看到，GPT无法取代自动化审计成为主要角色，因为它的审计和推理能力主要基于已有的知识，并不适用于某些复杂的问题。Allen强调了动态分析的重要性，并提到了对GPT进行改造，使其具备像黑客一样的行为。通过预先提供攻击训练和过去的攻击案例，GPT能够最大程度地提高攻击的覆盖率，找到代码中可能被攻击的路径并报告。在动态分析方面，GPT将更能很好地发挥作用。

moledao的Co-Builder Iris对使用GPT进行自动化审计的可实现性和相关安全风险发表了看法。虽然GPT作为一个工具本身是中立的和基于良善的，但在错误使用的情况下可能产生不好的后果。一些恶意行为可以通过绕过限制来利用GPT进行破坏活动。

GPT一方面让黑客进化，另一方面也在赋能开发者，使用MetaScan工具来提高prompt的精确性，并利用大量的历史数据训练GPT成为更加专业的代码审计师。

此外，GPT在社会工程学方面潜在一定风险，因为它能够生成具有连贯性和令人信服的网络钓鱼邮件，甚至采用独特的语气和写作风格。在如何妥善利用GPT和鉴别编局上，我们还是应当更加谨慎。

区块链技术和应用迅速发展,安全问题也日益凸显。GPT的出现为区块链资产安全带来了新的可能性，如何正确使用GPT，发挥其优势弥补不足，并应对潜在威胁，各个环节都需要行业共同努力才能赋能开发者，守护链上安全。

MetaScan现已开放免费试用，立即开启你的安全护盾。