智能合约漏洞已导致数十亿美元的加密货币被盗。莫菲斯或许是有史以来第一个旨在防止此类事件的人工智能。

让我们从一个让所有加密开发者都感到不安的数字开始。
38亿美元。
2022年通过加密协议的智能合约漏洞被盗的资金甚至更大！不是市场崩盘。不是庚金拉盘。代码漏洞。攻击者在开发者之前发现了 Solidity 代码中作者未曾预料的行为。
Wormhole 桥的损失为3.2亿美元。只发现了一个无效的验证条件。
Ronin 桥的损失为6.25亿美元。由于合约架构决策导致的私钥泄露。
Euler Finance。1.97亿美元。一个经过多次审计仍被利用的重入漏洞。
这些项目都经过了巧妙的开发。专业的安全审计。广泛的测试。但仍损失了数十亿美元！
我在思考这种持续发生的“如何”和“为什么”。我越来越觉得，答案中有个令人不舒服的地方。
智能合约的安全性存在人类的局限性问题。
我的意思是这样。
一个大型DeFi应用可能需要1万到5万行 Solidity 代码。多个合约之间的关系。只有在特殊组合和/或顺序中才会出现的异常输入。涉及的不仅仅是代码本身的攻击，还包括攻击者的动机。
人类审计员还可以。最优秀的确非常出色。
然而，人类会疲惫。时间紧迫时，人类会遗漏！他们可以大致理解代码的功能，但难以想象所有可能的攻击方式。
对我来说，真正的问题是这个。
大多数智能合约漏洞并非尖端的零日漏洞，而是相对简单易发现的漏洞。在大多数情况下，这些漏洞已被记录多年，属于已知的漏洞模式，比如重入、整数溢出、访问控制失败。
已知的模式。已知的解决方案。反复出现，且花费巨大，却未被任何人工审查发现。
这不是能力问题，而是规模和一致性的问题。
人类不可能记住所有已知的漏洞模式，同时还要研究新代码模式。这不是我们设计的目标，毕竟是并行处理。
而AI可以。
这正是莫菲斯真正吸引我之处。
莫菲斯不是通用AI助手，它只是一个恰好懂一些 Solidity 的工具。它被开发为智能合约工程师的专家，唯一目标是了解漏洞类型、攻击方式，以及“最佳实践”的操作方法，以及多年来加密代码被利用的各种案例。
大多数时候，这一专业知识并没有被充分理解。
就像用通用AI模型进行智能合约审查，类似于让天才的全科医生进行脑部手术。他们能发现明显的问题，但通过专业化和多年训练在数千个漏洞案例、攻击后期分析和安全研究中培养出的模式识别能力，是不同的。
专业模型不仅了解代码的行为，还能理解其意图。它知道代码可能被对手利用的潜在能力。
代码审查与安全审查的区别。
但我必须坦白一些限制。
AI安全工具的效果取决于其训练数据。如果莫菲斯大部分时间都用历史漏洞模式进行训练，它在检测已知攻击向量方面会非常有效。新型攻击更难检测，因为它们尚未被记录，也未被执行。
别忘了信任问题。难怪智能合约开发者对新安全工具持怀疑态度。假阴性（未检测到漏洞）的后果可能非常严重。误报（将安全代码标记为不安全）会带来摩擦和开发者挫败感。
建立开发者对AI安全工具的信任还需要时间。这需要时间。
此外，还有对抗性适应的问题。随着AI安全成为常态，攻击者也会跟进。他们会寻找AI模型未检测到的模式。安全始终是一场军备竞赛，将AI引入防御只是改变了他们的优化目标。
但莫菲斯在这些方面并非毫无价值。它的具体价值主张。
智能合约黑客事件不会被莫菲斯完全根除。它能做的是让持续发布明显存在漏洞的代码变得更难，识别重复出现的模式，帮助减少人类审计员在已知风险上花费的时间，而将宝贵的时间用在需要人类判断的新风险上。
这是一件相当重要的事情。
2022年，38亿美元。如果提前发现了20%的漏洞，并且这些漏洞留在用户钱包中而非攻击者地址中，那就意味着有7.6亿美元仍在用户钱包里。
OpenLedger生态系统面临的挑战是，莫菲斯是否能建立声誉和开发者信任，成为智能合约开发流程中的必备步骤，而非可选。
一旦达到这个阶段，它就是真正的基础设施。
那种在值班时看不见、而在不在时造成灾难的基础设施。
你是否曾被黑客攻击或受益于被利用的智能合约影响？你认为AI安全工具能做些什么来防止这种情况发生？