近日,ChatGPT 火出圈,上线仅两个月活跃用户就已突破一亿。用它写文章、码代码、谈恋爱,找工作回邮件已成了常规操作,网上还有不少教你利用该软件“赚钱”的门道,甚至宾大的沃顿商学院教授也声称“学生”ChatGPT 通过了商业管理考试。
于是人工智能取代某些岗位甚至是人工智能取代人类的热议话题登上了热搜,在人人被卷的时代,大家心里也渐渐打起小鼓。
那么人工智能,或形式化验证这样的“计算机产物”,到底能否取代人类呢?在Web3.0 的世界,形式化验证又能否取代人工审查呢?
形式化验证
形式化验证,是一种验证计算机程序是否按照了预期运行的数学证明方法。它将程序的属性和预期行为表达成为数学公式,然后使用自动化工具来检查这些公式是否成立。该过程有助于确保其程序符合预期。
形式化验证的应用
形式化验证是一种可被广泛应用于不同系统的工具,包括:
-
计算机硬件设计:确保集成电路和数字系统符合它们所需的规范,并且行为正确。
-
软件工程:验证软件系统的正确性和可靠性,特别是在航空、医疗设备和金融系统等任务关键型应用/领域。
-
网络安全:评估加密算法和协议的安全性,并识别对安全敏感的系统中的安全漏洞。
-
人工智能和机器学习:验证人工智能和机器学习模型的属性和行为,确保它们按照预期运行并做出精准预测。
-
自动化定理证明:验证数学定理和证明数学猜想,应用于数学、物理学和计算机科学等领域。
-
区块链和智能合约:确保区块链系统和智能合约的正确性、安全性和可靠性。
智能合约的形式化验证
智能合约的形式化验证,是通过将智能合约的逻辑和预期行为用数学表达式表示,然后使用自动化工具来检查这些数学表达式是否正确。
这个过程包括:
-
用形式化语言定义合约的规范和属性。
-
将合约的代码“翻译"”成形式化的表示,如数学逻辑或模型。
-
使用自动定理证明器或模型检查器来验证合约的规范和属性是否成立。
-
重复验证过程,以发现和修复任何错误或偏离预期的情况。
有时,自动化定理证明器或模型检查器不能证明或证伪一个属性。在这种情况下,可能需要对规范和期望的属性进行改进,并重复验证过程。
将规范分解成更短小的代码或者提供更多的规范信息,可以完善规范和期望的属性。这可以使定理证明者和模型检查者更容易验证规范和属性是否成立。
形式化验证可以应用于一个合约或同时应用于多个合约。Web3.0 项目经常使用多个合约,确保这些合约一起工作并正确实现所需的项目功能非常重要。
形式化验证当中,由于其属性已在数学上被严格证明是正确的,因此使用这种数学方法有助于确保智能合约不存在错误、漏洞和其他非预期行为。
将代码形式化表示
代码片段示例一
如下代码显示了一个简化的代币转移功能程序:有两个用户,他们各自有一些代币(balance 和 balance 2 )。函数 transferFromUser 1 将代币从用户 1 转移到了用户 2 。该程序有一个不变量,即代币的总供应量总是等于余额之和。
代码片段一:代币转移程序
我们把不变量用数学公式表示,并对公式进行编号。数学公式中,“=”意味着“等于”,而不是赋值。
代码片段示例二
如下代码显示了如何添加逻辑公式(为了例子简单明确,在此暂时忽略整数溢出)。
代码片段二:表达了代码含义的逻辑公式函数
如果想要检查 transferFromUser 1 是否保持了程序中的不变量,那么我们可以检查公式 7 (在函数的末尾)是否有不变性(公式 1 )。下面是使用高中代数方法进行的证明。
形式化验证与人工审计的协同
在确保智能合约的安全性方面,形式化验证和人工审计可谓相辅相成。
形式化验证:
形式化验证提供了一种系统化和自动化的方法来检查合约的逻辑和行为以及它的预期属性,使其更容易识别和修复潜在的错误或漏洞。它对发现复杂或不容易被察觉的问题十分有效,因为这些问题可能很难通过人工检查发现。
当处理复杂或多个合约时,人类则很难推理出所有需要检查的组合和可能性,而机器则“毫无压力”。
人工审计:
人工审计提供了专家对合约代码、设计和部署的审查,审计专家可以利用他们的经验和专业知识来识别潜在的安全风险并评估合约的整体安全情况。
除此之外,人工还可以验证形式化验证过程是否被正确执行,并检查无法用自动化工具检测的问题。因此人工专家审计,更有助于确保形式化验证中使用的规范和所需属性的正确性。
综上,结合形式化验证和人工审计两个方法,才能对智能合约的安全性进行全面彻底评估,并增加发现和漏洞修复的机会。这也是一种结合了人类和机器各自特长,且被称为“深度防御”的安全方法。
安全专家在线 AMA
形式化验证的力量不可小觑,但是也不能忽略人工审计的重要性。在 ChatGPT 官网上,其已坦言了自身的不足,而人工智能无法取代人类思考和创造这样老生常谈的讨论在此也可以省略一万字……这不,Bard 出错谷歌股价大跌。
同样的,形式化验证也不可取代人工审计,两者相辅相成才能对智能合约进行完整的检验。
文章阅读完还有疑问?不妨做客【 2 月 10 日本周五】的【CertiK 推特 AMA】,与专家进行在线一对一问答!有时差不能到场的朋友们可以后台留言你的问题,我们将替你传达给嘉宾并且公开 AMA 回放内容!