一场GPT之旅:构建智能合同威胁侦察审计员

第一部分:智能合约Recon GPT的创建过程

构建“智能合约威胁侦察审计员”,GPT更多的是另一个个人脚本编写任务。 然而,鉴于这种语言模型的简便性和严重依赖性,我考虑创建一个提示引擎。 我希望它不仅仅是安全研究人员工具库中的另一个工具。 它必须感觉像是他们专业知识的延伸 - 一个可以处理复杂调查并协助审计准备的第二大脑。

这就是这个工具的本质,在与ChatGPT进行早期讨论时,我阐明了我对这个GPT的目标。ChatGPT对此进行了研究。果不其然,结果糟糕透顶。

我开始让ChatGPT帮助构建一个GPT,以帮助智能合约审计人员简化其预审计阶段。我希望它专注于收集关键的架构细节,分析不变量,并识别针对区块链协议的威胁模型,通常是DeFi协议。

在设计的迭代过程中,我专注于完善系统架构解释、威胁建模阶段和动态测试建议。一个关键特性是能够重现协议的结构和不变性,这需要审计员理解协议的核心。我反复要求GPT始终深入研究协议提供的文档或上传的审计报告,以整理出审计员想要得到答案的基于内容的关键问题。这个GPT,由我在审计重建过程中通常会遇到的个人障碍导致,会从协议文档中提出非常复杂的问题,让系统在我的面前展开。

ChatGPT因其表面级别的评估而普遍受到憎恶。我不想要一个简单地检查安全问题的工具(告诉你每行代码都存在重入性错误);它必须引导审计员进行批判性思维,专注于审计准备工作,并制定一个针对协议定制的独特威胁模型。无论审计涉及DeFi、Layer-2基础设施还是跨链解决方案,GPT必须根据技术复杂性调整其关注重点。

在我要求ChatGPT整合以前审计学习的分析后,发生了一些更加复杂的变化。审计人员现在可以上传以前的审计报告和Medium故事或X线索的链接,让GPT建立相关安全问题的矩阵,构建在GPT数据库中一些预先上传的文件的基础上。我希望审计人员能够快速访问模式 - 也许是在类似协议中经常出现的问题。审计人员再也无需翻阅无尽的文件;相反,GPT会动态生成项目之间的连接。

我强调避免含糊的建议或通用的工具建议。审计师的工作流程是微妙而个人化的,每个专业人员都有自己喜欢的工具集。我要求ChatGPT确保审计师始终有控制权,只在被询问时提供关于工具选择的见解,并提供支持建议的具体项目要求。

请随意使用🌐 GPT [在此链接] 并提供反馈。🚀

2024-09-11 04:10:34 AI中文站翻译自原文