تسلط OpenZeppelin الضوء على عيوب منهجية في معيار أمان البلوكشين EVMbench من OpenAI

تسلط OpenZeppelin الضوء على عيوب منهجية في معيار أمان البلوكشين EVMbench من OpenAI

تكتشف OpenZeppelin تلوث البيانات والثغرات عالية الخطورة غير الصالحة في EVMbench الخاص بـ OpenAI، مما يثير تساؤلات حول موثوقية معايير الذكاء الاصطناعي لأمن البلوكشين.

هناك جدل يتصاعد حول استخدام الذكاء الاصطناعي وأمن البلوكشين. قامت OpenZeppelin بالتحقيق في معايير الذكاء الاصطناعي الجديدة التي أصدرتها OpenAI بخصوص العقود الذكية (EVMbench)، ووجدت بعض المشكلات المتعلقة بالمنهجية بالإضافة إلى تلوث البيانات التي يتم اختبارها.


صُمم هذا المعيار لتقييم مدى قدرة نماذج الذكاء الاصطناعي على تحديد ومعالجة واستغلال الثغرات الأمنية في العقود الذكية لآلة الإيثيريوم الافتراضية، وهو نتاج تعاون بين شركة الاستثمار في العملات المشفرة Paradigm وباحثين من جامعة ستانفورد.


أعربت OpenZeppelin عن دعمها للاقتراح لكنها استخدمت نفس التدقيق المطبق عند قياس بروتوكولات التمويل اللامركزي (DeFi) الرئيسية الأخرى عند التعامل مع مقترح هذا المعيار. وقد أدى ذلك إلى فحص المعيار الذي أثار العديد من الأسئلة المهمة حول كيفية قياس أداء الذكاء الاصطناعي المتعلق بأمن البلوكشين في المستقبل.

ما هو الغرض من تصميم EVMbench

يعمل EVMbench كمعيار لاختبار نماذج الذكاء الاصطناعي مقابل الثغرات الأمنية الفعلية في العقود الذكية ضمن كود Solidity و EVM، مما يسمح لك بما يلي:


  1. تحديد الثغرات الأمنية في كود Solidity،
  2. تصنيف شدة تلك الثغرات الأمنية،
  3. التوصية بإصلاحات للأمان الضعيف،
  4. إظهار كيف يمكن للمهاجم استغلال نقطة ضعف.


الهدف من المعيار هو تزويد المطورين بقياس موضوعي لمدى فعالية كودهم في تأمين حل قائم على البلوكشين عندما تكون المخاطر المالية عالية ويمكن أن يؤدي استغلال البلوكشين إلى خسائر لا تُحصى.


مع تزايد استخدام الذكاء الاصطناعي في عمليات التدقيق، يمكن أن تؤثر هذه المعايير على اختيار فرق التطوير لأدوات الذكاء الاصطناعي لأغراض التدقيق/أمن البروتوكولات.


ومع ذلك؛ فإن مقارنة الذكاء الاصطناعي في بيئات عالية المخاطر/غير قابلة للفوز تتطلب درجة عالية من الانضباط المنهجي في قياس أداء الذكاء الاصطناعي؛


صورة من المؤلف

عملية مراجعة OpenZeppelin

وفقًا لممثل OpenZeppelin، اختارت الشركة مراجعة EVMbench باتباع نفس الإجراءات العامة المستخدمة في تدقيق بروتوكولات التمويل اللامركزي الكبيرة.


أكملت OpenZeppelin عمليات تدقيق للعديد من المشاريع، بما في ذلك Aave وLido وUniswap، والتي تعالج جميعها معاملات بمليارات الدولارات.


صرحت OpenZeppelin أن هدفها لم يكن تحدي هذه المبادرة؛ بل كان ضمان أن ادعاءات الأمان القائمة على الذكاء الاصطناعي مدعومة بمنهجية إحصائية عشوائية ودقيقة.


صرحت الشركة علنًا وفي مناقشاتها مع الجمهور بأن معايير الذكاء الاصطناعي التي ستؤثر على القرارات المتعلقة بأمان مشاريع البلوكشين يجب أن تجتاز اختبارًا عدائيًا.

القضية الرئيسية 1: تلوث بيانات التدريب

تُظهر النتائج المستخلصة من بحثي أن تلوث بيانات التدريب يمثل خطرًا كبيرًا.

يحدث التلوث عندما تتداخل مجموعة بيانات المعيار المستخدمة لتقييم أداء خوارزميات التعلم الآلي (ML) جزئيًا أو كليًا مع البيانات المستخدمة لتدريب الخوارزميات. سيؤدي هذا التداخل إلى تضخيم مقاييس الأداء.


في سياق EVMbench، هناك قلق بشأن التلوث.

إذا كانت أي ثغرات أمنية موجودة ضمن مجموعات بيانات المعايير موجودة في المستودعات العامة المتاحة على نطاق واسع (مثل GitHub) أو في دراسات منشورة أخرى، فهناك احتمال أن تكون خوارزميات التعلم الآلي المتقدمة للغاية قد حفظت تلك الأنماط (أي، تعلمت حفظ الارتباط بين بيانات التدريب والأداء المقابل).


وبالتالي يقوض مصداقية معايير EVMbench كمقياس صالح لقدرة الخوارزمية على الاستنتاج.

الاستنتاج أمر بالغ الأهمية في عالم أمن البلوكشين حيث توجد بيئة من الإبداع العدائي حيث يكون الاعتماد على تفسير البيانات المحفوظة (أي الاسترجاع) أكثر صعوبة بكثير من إظهار تطبيقات متسقة للاستدلال التحليلي (أي المنطق).

القضية الرئيسية 2: أخطاء تصنيف الثغرات الأمنية

صرحت OpenZeppelin في قلقها الرئيسي الثاني بشأن تصنيف الثغرات الأمنية أنه يبدو أن هناك العديد من المشكلات المصنفة على أنها شديدة الخطورة والتي لا يمكن استغلالها بطريقة عملية. وقد أشاروا إلينا إلى أن أربعة على الأقل من هذه التصنيفات عالية الخطورة غير صالحة بالفعل لأنه، في ظل ظروف البلوكشين الفعلية، لا يمكن استغلال هذه الثغرات الأمنية فعليًا.


أهمية نظام تصنيف الخطورة هي:


• تساعد تصنيفات الخطورة في تركيز الموارد على إصلاح أهم المشكلات أولاً

• تؤثر تصنيفات الخطورة على درجات النماذج

• سيتم تشكيل التصور العام لقدرات الذكاء الاصطناعي من خلال تصنيفات الخطورة


إذا كان النموذج يقوم بإلغاء أولوية مشكلة غير قابلة للاستغلال بشكل صحيح ولكن هذه المشكلة قد تم تخصيص خطورة عالية لها، فقد يُعاقب هذا النموذج بشكل غير عادل على ذلك. وعلى الجانب الآخر، قد يتمكن النموذج ببساطة من الإشارة إلى العديد من المشكلات دون أن يكون قادرًا على تحديد ما إذا كانت قابلة للاستغلال أم لا وقد يحصل على درجة أعلى.


كما تقوض هذه التناقضات موثوقية المعايير.

صورة من المؤلف

لماذا تهم نزاهة المعايير لأمن البلوكشين

عامل حاسم في تشكيل تبني الذكاء الاصطناعي


إن المعيار الذي يوفر مقياسًا للثقة بأن نموذجًا معينًا للذكاء الاصطناعي سيكون قادرًا على تحديد الثغرات الأمنية واستغلالها بفعالية هو أمر يمكن أن يدفع فرق التطوير إلى دمجه في خطوط تدقيق الإنتاج الخاصة بهم.


يمكن أن تكون هناك عواقب وخيمة لاستخدام أدوات تدقيق معيبة ضمن التمويل اللامركزي (DeFi) والتي تشمل:


- فقدان أموال المستخدمين

- إعسار البروتوكول

- تعطيل الحوكمة

- الإضرار بالسمعة


عادة ما يتم نشر العقود الذكية للبلوكشين وهي غير قابلة للتغيير. لا يمكن إصلاح الثغرات الأمنية بسهولة دون تنسيق حوكمي أو ترحيل. هذا يزيد من الحاجة إلى تصنيفات دقيقة للثغرات الأمنية ومقاييس تقييم سليمة. يمكن لمعيار غير موثوق به أن يخلق بيئة من الثقة في غير محلها في منتجات الأمن القائمة على الذكاء الاصطناعي.

الدور المتنامي للذكاء الاصطناعي في تدقيق العقود الذكية

تتم مراجعة العقود الذكية الآن بشكل شائع باستخدام الذكاء الاصطناعي (AI). يمكن تلخيص استخدام الذكاء الاصطناعي في هذا الصدد كالتالي:


- لفحص كود البرمجة مسبقًا وتحديد الثغرات الأمنية الجديدة،

- مساعدة المدققين البشريين في تحليل الكود بحثًا عن أخطاء وظيفية أو منطقية،

- تقديم توصيات لإصلاحات الكود إذا تم تحديد الأخطاء، و

- إنشاء حالات اختبار تحاكي استغلال الثغرة الأمنية.


إن الاستخدام الفعال للذكاء الاصطناعي سيكمل، ولكنه لن يحل محل، عمل المدققين البشريين. نحن نشهد تزايد استخدام الذكاء الاصطناعي بهذه الطريقة. EVMbench هو محاولة لتقييم مدى أداء الذكاء الاصطناعي مقابل المقاييس المعمول بها في هذا المجال الفرعي. تقدم OpenZeppelin نقدًا لهذه الطريقة التقييمية، مشيرة إلى الحاجة إلى عملية تقييم آمنة ومصممة بشكل قابل للاستخدام لأغراض القياس.


أخيرًا، لكي تكون عمليات التقييم فعالة في مواجهة الخصوم الذين سيبحثون بنشاط عن نقاط الضعف، يجب تصميمها بحيث لا يمكن 'التلاعب بها'.

تداعيات أوسع لتقييم الذكاء الاصطناعي في عالم الكريبتو

يسلط الجدل الدائر حول EVMbench الضوء على تحدٍ مستمر عند تقييم الذكاء الاصطناعي؛ وهو التمييز بين الاستدلال الحقيقي والتعرف على الأنماط.


مع استمرار توسع قدرات نماذج اللغات الكبيرة، تتحسن عادةً المعايير المستخدمة لتقييم قدراتها أيضًا. ومع ذلك، بدون عزل مجموعة البيانات الأساسية للمعيار والتحقق منها بشكل صحيح، يمكن أن تُعزى تحسينات القدرة هذه إلى التعرض لبيانات التدريب بدلاً من أن تكون قد تطورت من خلال عمق تحليلي حقيقي.


هذا التمييز مهم بشكل خاص عند تقييم أمان العقود الذكية، حيث أن هذه الأنواع من الاستغلال غالبًا ما تتضمن تفاعلات معقدة، وقيودًا سياقية، وحالات اقتصادية خاصة. لكي يكون المعيار موثوقًا به، يجب أن يراعي المعيار ما يلي:


• جدوى الوفاء بالمتطلبات من خلال قابلية الاستغلال العملي

• الاعتبارات الاقتصادية حول الجدوى

• قيود التنفيذ المتعلقة بالمعاملات على السلسلة

• مساحات الهجوم الموجودة في العالم المادي


إذا كانت مستويات الخطورة أو الافتراضات حول الثغرات الأمنية المستخدمة في القياس غير صحيحة، فقد تضلل تلك المعايير المطورين. تشير تعليقات OpenZeppelin إلى أن صناعة أمن الكريبتو لديها نفس التوقعات من المعايير القائمة على الذكاء الاصطناعي كما هو متوقع ضمن عملية تدقيق البروتوكول.

توتر بناء بين خبراء الذكاء الاصطناعي وخبراء الأمن

تجدر الإشارة إلى أن OpenZeppelin أعربت عن دعمها للمبادرة قبل نشر انتقادها. هذا يشير إلى أن الجدل ليس ضد استخدام الذكاء الاصطناعي للقياس، بل لتعزيز عملية قياس أداء الذكاء الاصطناعي.


إن العلاقة المتبادلة بين مجتمع تدقيق أمن البلوكشين ومجتمع أبحاث الذكاء الاصطناعي هي توتر بناء سيخلق:


إن العمل معًا لتطوير تعريفات ومعايير ومقاييس لمجموعات البيانات سيساعد في تقليل فرصة الثقة المفرطة في الأنظمة الآلية مع تشجيع الابتكار أيضًا، حيث تستمر الأدوات القائمة على الذكاء الاصطناعي في اكتساب شعبية داخل مساحة تطوير Web3.


مع ازدياد انتشار أدوات الذكاء الاصطناعي في مجتمع تطوير Web3، أصبح من المهم بشكل متزايد إنشاء عملية شفافة للتحقق من صحة استخدامها.

الخاتمة

تُبرز نتائج EVMbench من OpenZeppelin مدى صعوبة تقييم جودة الذكاء الاصطناعي المستخدم لتقييم الأمن في مجال البلوكشين. وقد أدى اكتشاف التلوث المحتمل لبيانات التدريب، والذي قد يؤثر على مدى قدرة الذكاء الاصطناعي على تحديد الثغرات في العقود، إلى إثارة نقاش مهم للغاية حول نزاهة المعايير المستخدمة في هذه الصناعة. تدير هذه الصناعة مئات المليارات من الدولارات من القيمة المحتجزة على السلسلة، لذا فإن استخدام أساليب سليمة عند إجراء أي نوع من التحليل أمر بالغ الأهمية.


لكي يصبح الذكاء الاصطناعي مساهمًا موثوقًا به في تدقيق العقود الذكية، ستحتاج أي إطار عمل يستخدم لتقييم الذكاء الاصطناعي أيضًا إلى أن يخضع لنوع التقييم العدائي الذي ستساعد البروتوكولات الأساسية التي سيساهم الذكاء الاصطناعي في إنشائها. من المتوقع أن يؤدي التقارب بين الذكاء الاصطناعي والبلوكشين إلى كفاءات كبيرة، ولكن كما أظهرت هذه الحالة الدراسية، سيتعين أن يخضع الابتكار لمعايير صارمة لتحقيق هذه النتيجة.

المراجع

منشور OpenZeppelin على X حول مراجعة EVMbench

إعلان إطلاق OpenAI و Paradigm لـ EVMbench

وثائق منهجية تدقيق الأمان لـ OpenZeppelin

وثائق أفضل ممارسات أمان العقود الذكية لإيثيريوم

بحث أكاديمي حول تلوث بيانات معايير الذكاء الاصطناعي والتحيز في التقييم

جميع الآراء الواردة هنا هي آراء شخصية للمؤلف، ولا تشكل نصيحة استثمارية.

أحدث المقالات

مؤشر الخوف والطمع

تداول
26
يخاف
ما رأيك في توجهات السوق الحالية؟
+78.57%+21.42%
التداول الفوريالعقود الآجلة
لا توجد بيانات