Aunque la inteligencia artificial (IA) ya ha transformado innumerables industrias, desde la atención médica y la automotriz hasta el marketing y las finanzas, su potencial ahora se está probando en una de las áreas más importantes de la industria de la cadena de bloques: la seguridad de los contratos inteligentes.
Numerosas pruebas han demostrado un gran potencial para las auditorías de blockchain basadas en IA, pero esta tecnología incipiente aún carece de algunas cualidades importantes inherentes a los profesionales humanos: intuición, juicio matizado y experiencia en la materia.
Mi propia organización, OpenZeppelin, realizó recientemente una serie de experimentos que destacan el valor de la IA para detectar vulnerabilidades. Esto se hizo utilizando el último modelo GPT-4 de OpenAI para identificar problemas de seguridad en los contratos inteligentes de Solidity. El código que se está probando proviene del juego web de piratería de contratos inteligentes de Ethernaut, diseñado para ayudar a los auditores a aprender cómo buscar vulnerabilidades. Durante los experimentos, GPT-4 identificó con éxito vulnerabilidades en 20 de 28 desafíos.
Conectado: Prepárate, Reddit: las API cerradas cuestan más de lo que esperas
En algunos casos, simplemente proporcionar el código y preguntar si el contrato contiene una vulnerabilidad arrojaría resultados precisos, como el siguiente problema de nomenclatura con la función constructora:
En otros casos, los resultados fueron más mixtos o francamente malos. A veces, será necesario que se le solicite a la IA la respuesta correcta al proporcionar una pregunta algo capciosa, como «¿Puedes cambiar la dirección de la biblioteca en el contrato anterior?» En el peor de los casos, GPT-4 no podría detectar una vulnerabilidad incluso cuando las cosas se describieron con bastante claridad, como «La puerta uno y la puerta dos se pueden omitir si llama a la función desde dentro de un constructor, ¿cómo puede ingresar el contrato inteligente GatekeeperTwo ahora?» En un momento, la IA incluso inventó una vulnerabilidad que en realidad no existía.
Esto pone de relieve las limitaciones actuales de esta tecnología. Aún así, GPT-4 logró avances notables con respecto a su predecesor, GPT-3.5, el modelo de lenguaje grande (LLM) utilizado en el lanzamiento inicial de OpenAI de ChatGPT. En diciembre de 2022, los experimentos con ChatGPT mostraron que el modelo solo podía resolver con éxito cinco de los 26 niveles. Tanto GPT-4 como GPT-3.5 se entrenaron con datos hasta septiembre de 2021 utilizando aprendizaje reforzado a partir de comentarios humanos, una técnica que involucra comentarios humanos para mejorar un modelo de lenguaje durante el entrenamiento.
Coinbase realizó experimentos similares, dando un resultado comparativo. Este experimento usa ChatGPT para revisar la seguridad del token. Si bien la IA pudo reflejar las revisiones manuales para una gran proporción de contratos inteligentes, tuvo problemas para brindar resultados a otros. Además, Coinbase también citó varios casos de ChatGPT que etiquetaron activos de alto riesgo como de bajo riesgo.
Conectado: No seas ingenuo: el ETF de BlackRock no será optimista con Bitcoin
Es importante tener en cuenta que ChatGPT y GPT-4 son LLM desarrollados para el procesamiento del lenguaje natural, la conversación humana y la generación de texto, no para la detección de vulnerabilidades. Con suficientes ejemplos de vulnerabilidades de contratos inteligentes, es posible que un LLM adquiera el conocimiento y los patrones necesarios para reconocer vulnerabilidades.
Sin embargo, si queremos soluciones de detección de vulnerabilidades más específicas y confiables, lo más probable es que un modelo de aprendizaje automático entrenado exclusivamente en conjuntos de datos de vulnerabilidades de alta calidad proporcione resultados superiores. Los datos y modelos de entrenamiento personalizados para propósitos específicos conducen a mejoras más rápidas y resultados más precisos.
Por ejemplo, el equipo de inteligencia artificial de OpenZeppelin creó recientemente un modelo de aprendizaje automático personalizado para detectar ataques de reingreso, una forma común de explotación que puede ocurrir cuando los contratos inteligentes realizan llamadas externas a otros contratos. Los primeros resultados de la evaluación muestran un rendimiento superior en comparación con las herramientas de seguridad líderes en la industria, con una tasa de falsos positivos de menos del 1 %.
Lograr un equilibrio entre la IA y la experiencia humana
Los experimentos realizados hasta ahora muestran que, si bien los modelos de IA actuales pueden ser una herramienta útil para identificar vulnerabilidades de seguridad, es poco probable que reemplacen el juicio matizado y la experiencia de los profesionales de la seguridad humana. GPT-4 utiliza principalmente datos disponibles públicamente hasta 2021 y, por lo tanto, no puede identificar vulnerabilidades complejas o únicas más allá del alcance de sus datos de entrenamiento. Dado el rápido desarrollo de blockchain, es extremadamente importante que los desarrolladores continúen aprendiendo sobre los últimos avances y las posibles vulnerabilidades de la industria.
De cara al futuro, el futuro de la seguridad de los contratos inteligentes probablemente implicará la colaboración entre la experiencia humana y las herramientas de inteligencia artificial en constante mejora. La defensa más eficaz contra los ciberdelincuentes armados con IA será utilizar la IA para identificar las vulnerabilidades más comunes y conocidas, mientras que los expertos humanos se mantienen al tanto de los últimos avances y actualizan las soluciones de IA en consecuencia. Más allá del campo de la ciberseguridad, los esfuerzos combinados de AI y blockchain tendrán muchas más soluciones positivas e innovadoras.
La IA por sí sola no reemplazará a los humanos. Sin embargo, los auditores humanos que aprenden a usar herramientas de IA serán mucho más efectivos que los auditores que hacen la vista gorda ante esta tecnología emergente.
mariko wakabayashi es el jefe de aprendizaje automático en OpenZeppelin. Es responsable de las iniciativas de datos e IA/ML aplicadas en OpenZeppelin y Forta Network. Mariko creó la API pública de Forta Network y lidera el intercambio de datos y proyectos de código abierto. Su sistema de IA en Forta ha detectado más de $300 millones en hacks de blockchain en tiempo real antes de que sucedan.
Este artículo es para fines de información general y no pretende ser ni debe tomarse como asesoramiento legal o de inversión. Los puntos de vista, pensamientos y opiniones expresados aquí son únicamente del autor y no reflejan necesariamente los puntos de vista y opiniones de Cointelegraph.
