Si bien la inteligencia artificial (IA) ya ha transformado una miríada de industrias, desde la atención médica y la automotriz hasta el marketing y las finanzas, su potencial ahora se está poniendo a prueba en una de las áreas más cruciales de la industria de la cadena de bloques: la seguridad de los contratos inteligentes.
Numerosas pruebas han demostrado un gran potencial para las auditorías de blockchain basadas en IA, pero esta tecnología incipiente aún carece de algunas cualidades importantes inherentes a los profesionales humanos: intuición, juicio matizado y experiencia en la materia.
Mi propia organización, OpenZeppelin, realizó recientemente una serie de experimentos que destacan el valor de la IA para detectar vulnerabilidades. Esto se hizo utilizando el último modelo GPT-4 de OpenAI para identificar problemas de seguridad en los contratos inteligentes de Solidity. El código que se está probando proviene del Ethernauta Juego web de piratería de contratos inteligentes: diseñado para ayudar a los auditores a aprender a buscar exploits. Durante los experimentos, GPT-4 identificó con éxito vulnerabilidades en 20 de 28 desafíos.
Relacionado: Abróchate el cinturón, Reddit: las API cerradas cuestan más de lo que esperas
En algunos casos, simplemente proporcionar el código y preguntar si el contrato contenía una vulnerabilidad produciría resultados precisos, como con el siguiente problema de nomenclatura con la función de constructor:
En otras ocasiones, los resultados fueron más mixtos o absolutamente malos. A veces, la IA necesitaría recibir la respuesta correcta al proporcionar una pregunta algo capciosa, como “¿Puede cambiar la dirección de la biblioteca en el contrato anterior?” En el peor de los casos, GPT-4 no encontraría una vulnerabilidad, incluso cuando las cosas se explicaron con bastante claridad, como “La puerta uno y la puerta dos se pueden pasar si llama a la función desde dentro de un constructor, ¿cómo puede? entrar en el contrato inteligente GatekeeperTwo ahora? En un momento, la IA incluso inventó una vulnerabilidad que en realidad no estaba presente.
Esto pone de relieve las limitaciones actuales de esta tecnología. Aún así, GPT-4 ha logrado avances notables con respecto a su predecesor, GPT-3.5, el modelo de lenguaje grande (LLM) utilizado en el lanzamiento inicial de OpenAI de ChatGPT. En diciembre de 2022, los experimentos con ChatGPT mostraron que el modelo solo podía resolver con éxito cinco de los 26 niveles. Tanto GPT-4 como GPT-3.5 se entrenaron con datos hasta septiembre de 2021 mediante el aprendizaje por refuerzo a partir de la retroalimentación humana, una técnica que implica un ciclo de retroalimentación humana para mejorar un modelo de lenguaje durante el entrenamiento.
base de monedas llevado a cabo experimentos similares, arrojando un resultado comparativo. Este experimento aprovechó ChatGPT para revisar la seguridad del token. Si bien la IA pudo reflejar las revisiones manuales de una gran parte de los contratos inteligentes, tuvo dificultades para proporcionar resultados a otros. Además, Coinbase también citó algunos casos en los que ChatGPT etiquete activos de alto riesgo como de bajo riesgo.
Relacionado: No seas ingenuo: el ETF de BlackRock no será optimista para Bitcoin
Es importante tener en cuenta que ChatGPT y GPT-4 son LLM desarrollados para el procesamiento de lenguaje natural, conversaciones similares a las humanas y generación de texto en lugar de detección de vulnerabilidades. Con suficientes ejemplos de vulnerabilidades de contratos inteligentes, es posible que un LLM adquiera el conocimiento y los patrones necesarios para reconocer vulnerabilidades.
Sin embargo, si queremos soluciones más específicas y confiables para la detección de vulnerabilidades, lo más probable es que un modelo de aprendizaje automático entrenado exclusivamente en conjuntos de datos de vulnerabilidades de alta calidad produzca resultados superiores. Los datos y modelos de entrenamiento personalizados para objetivos específicos conducen a mejoras más rápidas y resultados más precisos.
Por ejemplo, el equipo de inteligencia artificial de OpenZeppelin creó recientemente un modelo de aprendizaje automático personalizado para detectar ataques de reingreso, una forma común de explotación que puede ocurrir cuando los contratos inteligentes hacen llamadas externas a otros contratos. Los primeros resultados de la evaluación muestran un rendimiento superior en comparación con las herramientas de seguridad líderes en la industria, con una tasa de falsos positivos inferior al 1 %.
Lograr un equilibrio entre la IA y la experiencia humana
Los experimentos realizados hasta ahora muestran que, si bien los modelos de IA actuales pueden ser una herramienta útil para identificar vulnerabilidades de seguridad, es poco probable que reemplacen el juicio matizado y la experiencia en el tema de los profesionales de la seguridad humana. GPT-4 se basa principalmente en datos disponibles públicamente hasta 2021 y, por lo tanto, no puede identificar vulnerabilidades complejas o únicas más allá del alcance de sus datos de entrenamiento. Dada la rápida evolución de blockchain, es fundamental que los desarrolladores continúen aprendiendo sobre los últimos avances y las posibles vulnerabilidades dentro de la industria.
De cara al futuro, el futuro de la seguridad de los contratos inteligentes probablemente implicará la colaboración entre la experiencia humana y la mejora constante de las herramientas de IA. La defensa más eficaz contra los ciberdelincuentes armados con IA será utilizar la IA para identificar las vulnerabilidades más comunes y conocidas, mientras que los expertos humanos se mantienen al tanto de los últimos avances y actualizan las soluciones de IA en consecuencia. Más allá del ámbito de la ciberseguridad, los esfuerzos combinados de AI y blockchain tendrán muchas más soluciones positivas e innovadoras.
La IA por sí sola no reemplazará a los humanos. Sin embargo, los auditores humanos que aprenden a aprovechar las herramientas de IA serán mucho más efectivos que los auditores que hacen la vista gorda ante esta tecnología emergente.
mariko wakabayashi es el líder de aprendizaje automático en OpenZeppelin. Es responsable de las iniciativas de datos e IA/ML aplicadas en OpenZeppelin y Forta Network. Mariko creó la API pública de Forta Network y lideró proyectos de código abierto y de intercambio de datos. Su sistema de IA en Forta detectó más de $300 millones en hacks de blockchain en tiempo real antes de que ocurrieran.
Este artículo es para fines de información general y no pretende ser ni debe tomarse como asesoramiento legal o de inversión. Los puntos de vista, pensamientos y opiniones expresados aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.