전국적으로 유행하는 "최강 AI" ChatGPT, 스마트 계약 취약점을 탐지할 수 있을까?

저자：Beosin

하룻밤 사이에 ChatGPT가 갑자기 인기를 끌며 인터넷에서 "AI 폭풍"을 일으켰습니다.

소위 ChatGPT는 올해 11월 30일, 인공지능 연구소 OpenAI에 의해 출시된 새로운 모델입니다.

현재 사용자와 ChatGPT 간의 대화 상호작용은 일반 채팅, 정보 상담, 시와 에세이 작성, 코드 수정 등을 포함하며, 심지어 사용자는 ChatGPT가 구글과 같은 검색 엔진을 대체할 수 있을지에 대한 의구심을 품고 있습니다.

오늘 우리는 폭발적인 인기를 끌고 있는 ChatGPT가 도대체 무엇인지, 그리고 스마트 계약의 취약점을 감지할 수 있는지 연구해 보겠습니다.

인터넷에서 "AI 폭풍"을 일으킨 ChatGPT는 도대체 무엇인가?

공식 웹사이트에 따르면, 계산 모델 GPT-3.5를 지원하는 범용 채팅 로봇 ChatGPT는 연속적인 질문에 답변하고, 자신의 오류를 인정하며, 잘못된 가정을 의심하고, 불합리한 요구를 거부할 수 있습니다.

대본 작성, 시 쓰기, 게임 디자인, 프로그램 버그 찾기, 심지어 "인류 멸망" 계획을 세우는 것까지, 이 AI가 할 수 있는 일은 상상을 초월합니다.

미국 기업가 일론 머스크는 ChatGPT에게 트위터를 어떻게 설계할지 물었고, AI는 "사용자가 스레드 인터넷 대화를 더 쉽게 보고 상호작용할 수 있도록 선형 1차원 인터페이스를 2차원 무한 그리드로 변환할 수 있습니다."라고 답했습니다.

12월 5일, OpenAI의 창립자이자 CEO인 샘 알트먼(Sam Altman)은 트위터에 ChatGPT 사용자 수가 100만을 넘었다고 발표했습니다.

많은 사람들이 채팅 기능을 테스트하고 소셜 미디어에서 그들의 대화를 공유하고 있습니다. ChatGPT는 또한 기술 억만장자 일론 머스크에게 깊은 인상을 남겼고, 그는 트위터에 "ChatGPT는 무섭게 좋다. 우리는 위험한 강력한 인공지능에 가까워지고 있다."고 썼습니다.

기술 회사 Replit의 창립자 Amjad Masad는 ChatGPT에게 JavaScript 코드를 보내어 그 안의 버그를 찾아보라고 했고, "ChatGPT는 훌륭한 디버깅 파트너가 될 수 있으며, 오류를 분석할 뿐만 아니라 오류를 수정하고 설명도 해줍니다."라고 말했습니다.

한 사용자는 심지어 ChatGPT에게 AI의 관점에서 세계를 지배하기 위한 편지를 작성해 달라고 요청했습니다.

결과는 정말 충격적이었습니다. 그것은 오랜 역사를 가진 인공지능 분야의 사람들의 반응을 불러일으켰고, 공상 과학 소설의 세계 개념을 장악하며 현실로 한 걸음 나아갔습니다.

이렇게 강력하고 놀라운 언어 능력을 가진 ChatGPT는 한순간에 화제의 중심에 서게 되었고, 뜨거운 논의의 주인공이 되었습니다.

현재 ChatGPT는 여전히 무료 테스트 단계에 있으며, 무제한으로 대중에게 개방되고 있습니다. 백만 이상의 사용자 수를 기반으로 할 때, 플랫폼이 소요하는 비용은 적지 않습니다. 그러나 사용 과정에서 사용자 제공 피드백은 OpenAI에게 가장 가치 있는 정보로, 언어 모델을 지속적으로 훈련하고 오류 답변을 수정하는 데 도움이 됩니다.

"신흥 인플루언서" ChatGPT, 스마트 계약을 작성하거나 계약 취약점을 감지할 수 있을까?

우리는 ChatGPT와의 대화를 등록하고 경험해 보았으며, 먼저 AI에게 자기소개를 요청했습니다.

그는 "저는 Assistant입니다. OpenAI에 의해 훈련된 대형 언어 모델입니다. 저의 일은 사람들이 다양한 질문에 답변하고 가능한 한 정확하고 상세한 정보를 제공하는 것입니다. 저는 역사, 과학, 인문학 또는 기타 주제에 관한 다양한 질문에 답변할 수 있습니다."라고 답했습니다.

블록체인 보안 회사로서 우리는 그에게 스마트 계약을 작성해 보라고 요청했습니다.

간단한 계약을 작성하는 것은 ChatGPT에게 큰 어려움이 없는 것처럼 보였습니다. 코드가 너무 길어 일부 스크린샷을 캡처하여 보여주었고, 그는 여전히 기본 지식을 이해하고 있음을 알 수 있었습니다.

다음으로 우리는 ChatGPT에게 상대적으로 간단하지만 취약점이 있는 스마트 계약을 제공하여 감지해 보라고 했고, 일부 스크린샷을 캡처하여 보여주었습니다.

대단하네요, ChatGPT는 간단한 문제를 감지할 수 있었습니다.

이런 상황을 보니, "두 가지 능력"이 있는 것 같습니다. 자, 계속해서 난이도를 높여보겠습니다!

그가 계속해서 놀라움을 줄 것이라고 생각했지만, 그는 "이 코드를 이해할 수 없습니다."라고 말했습니다.

그 후 우리는 몇 가지 주석을 추가하여 그에게 다시 감지해 보라고 했습니다.

그는 무언가를 말했지만, 마치 아무것도 말하지 않은 것처럼 보였습니다.

그런 다음 전문 보안 감사 도구를 사용하거나 전문가에게 감사를 요청할 것을 제안했습니다.

좋아요, 그럼 우리는 먼저 우리의 스마트 계약 형식 검증 도구인 Beosin VaaS를 사용하여 방금 테스트한 계약들을 감지해 보았습니다. VaaS는 계약의 취약점을 빠르게 감지할 수 있음을 보여주었습니다.

Beosin VaaS 제품 스크린샷

VaaS는 Beosin의 주력 제품 중 하나로, 스마트 계약에서 존재하는 알려진 및 알려지지 않은 취약점과 비즈니스 논리 문제를 자동으로 발견하고 전문적인 수정 제안을 제공하여 개발자가 스마트 계약의 보안 능력을 향상시킬 수 있도록 돕습니다. 관심 있는 분들은 비교 검사를 해보실 수 있습니다. VaaS 체험 링크: https://vaas.beosin.com/

그 외에도 여러 차례 비교한 결과, ChatGPT는 모든 문제를 해결할 수 없다는 것을 발견했습니다. 많은 취약점은 여전히 감사 전문가의 철저한 감사가 필요합니다.

예를 들어, 아래 계약의 문제는 수수료 제한이 없어서 사용자가 높은 수수료를 지불할 수 있게 되며, ChatGPT는 이러한 점을 인식하지 못했습니다.

또한 아래와 같이, _transfer 함수에서 _trAmount=2가 발생하면 10초 이내에 모든 전송 주소가 dev 주소가 됩니다. ChatGPT는 여전히 이를 인식하지 못했습니다.

결국 보안을 위해서는 엄격한 보안 감사 프로세스가 필요하며, 이를 통해 안전한 방어선을 구축해야 합니다.

Beosin의 감사 프로세스는 5단계 이상의 감사 절차를 포함하며, 자동화된 코드 보안 스캔과 보안 전문가 및 형식 검증 전문가의 수동 감사를 결합합니다. 각 단계는 여러 명의 보안 전문가와 형식 검증 전문가가 교차 작업하여 인적 요인으로 인한 누락을 최대한 방지합니다.

감사가 완료된 후, Beosin은 발견된 문제에 대한 피드백을 제공하며, 여기에는 취약점 설명, 재현 방법, 수정 제안 등이 포함됩니다. 그런 다음 프로젝트 측에 제출하고 취약점 수정을 지원합니다. 우리는 방대한 보안 취약점 데이터베이스를 축적하고 있으며, 보안 전문가의 풍부한 코드 보안 감사 경험을 바탕으로 프로젝트 측에 코드 수정 방법을 직접 알려줄 수 있습니다. 이는 ChatGPT보다 훨씬 강력합니다!

마지막으로, 형식 검증 전문가는 보안 감사 전문가가 정리한 보안 문제를 엄격한 수리 논리를 사용하여 재사용 가능한 보안 속성 불변으로 추상화하고, 이를 혼합 기계 엔진에 전달하여 자동화된 감지, 테스트, 검증을 수행합니다. 실증적으로 이러한 재사용 가능한 보안 속성 불변은 스마트 계약에서 새로운 미세한 취약점을 효과적으로 발견할 수 있습니다.

보아하니, 우리는 당분간 ChatGPT의 로봇에 의해 대체되지 않을 것 같습니다.

물론, 우리가 ChatGPT에 주목할 때, 더 깊이 생각하고 탐구해야 할 것은 그가 폭발적으로 인기를 끌게 된 배경에서 드러나는 정보입니다. 그가 보여주는 인공지능은 아마도 새로운 발전 단계에 접어들었으며, 기술은 서서히 세상을 변화시키고 있습니다.