AI安全工具降低智能合约审计成本 行业标准面临重塑

人工智能系统Mythos的发布，正在改变加密行业对智能合约安全审计的预期。该系统能够自主发现代码中的漏洞，其初步版本于本月早些时候短暂发布后从美国市场移除。研究者认为，这类AI工具可能显著降低审计成本，并使行业重新审视合理的尽职调查标准。

ENS Labs首席信息安全官Alexander Urbelis表示，AI工具将基本审计的价格推向了零。过去需要数周时间和大量资金的工作，可能在几分钟内完成，这使得之前无法承担专业审计的项目能够快速获得安全评估。

长期以来，研究人员依赖称为模糊测试的自动化工具，通过向程序输入大量数据并观察崩溃来寻找软件漏洞。AI系统采取了不同的方法。Urbelis指出，这是一种程度上的变化，可能导致性质上的改变。机器已经多年用于搜寻漏洞，但现在的模糊测试工具具备了推理能力。

与单纯识别技术漏洞不同，Mythos等系统能在理解代码预期功能的基础上，与实际执行情况对比。在加密领域，智能合约代码公开且漏洞悬赏预算充足，这一能力可能显著扩大行业在部署前发现漏洞的范围。

区块链安全公司SVRN首席运营官、叶史瓦大学网络安全硕士项目创始人David Schwed认为，这一转变更为重大。他指出，这些模型现在像人类攻击者一样运作——它们进行迭代，根据实时观察采取下一步行动，而旧工具只是复杂的确定性流程。

Schwed强调，更大的变化可能不在于漏洞发现本身，而在于持续安全监控的兴起。他认为真正的转变是以极低的价格进行持续审计并提供修复建议，而非仅能负担一次的定期审查。如果安全审查变得廉价且持续，行业预期也可能随之改变。

Urbelis相信，AI可能最终重塑智能合约开发的注意标准。过去，团队可以把审计的成本和复杂性作为未进行某些审查的理由。而当复杂的安全分析可以按需获取时，这一论点将难以成立。他指出，一份干净的AI报告不会被视作辩护，原告可能反过来辩称：工具存在且廉价，你本应发现漏洞。

这引发更广泛的问题：如果AI安全审查变得普遍，投资者是否会在资助项目前要求此类审查？未能运行AI辅助审计是否可能被视为疏忽？

尽管技术前景可观，两位研究者均不认为AI能取代人类审计员。Urbelis表示，机器擅长识别编码缺陷，但在发现经济和激励相关漏洞方面仍然较弱，而这些漏洞是造成加密行业最大损失的原因之一。他举例称，能够掏空资金库的漏洞往往涉及意图和对抗性激励，这些仍需要经验丰富的人类参与。

Schwed也提出警告：仅仅对AI系统说“审计我的智能合约，不要出错”并不是一个安全计划。如果运行工具的人无法评估返回的结果，那么买到的不是安全，而是虚假的安全感。

关于Mythos这类系统是否能防止重大攻击，两位研究者指出，加密行业许多代价最高的事件并非源于智能合约漏洞。Urbelis提及近期Drift事件，称其为持续数月的社会工程攻击的最终结果，目标是有贡献的贡献者而非协议代码。智能合约执行了其被指示的操作，但指令背后的权限被破坏和滥用。Schwed则引用Ronin和Bybit等事件，其中密钥泄露和签名流程被操控发挥了核心作用，而非软件漏洞。他总结道，没有任何代码扫描器能阻止授权签名者批准他们无法验证的交易。

研究者认为，AI不会消除加密行业的安全挑战，但可能从根本上改变问题的一个方面：发现漏洞的成本以及围绕漏洞发现的期望。

信息来源：CoinDesk