智能合約漏洞已導致數十億美元的加密貨幣被抽走。莫菲斯或許是有史以來第一個為防止這種情況而打造的人工智慧。

讓我們從一個讓所有加密開發者都感到不安的數字開始。
38億美元。
2022年通過智能合約漏洞在加密協議中被盜的資金甚至更大！不是市場崩盤，也不是空投騙局。是程式碼漏洞。攻擊者在開發者之前找到的 Solidity 代碼行，做了作者未曾預料的事情。
Wormhole 橋接的損失是3億2千萬美元。只找到了一個無效的驗證條件。
Ronin 的橋接損失是6億2千5百萬美元。由於合約架構決策，私鑰被泄露。
Euler Finance。1億9700萬美元。一個經過多次審計仍通過的重入漏洞。
這些項目都經過巧妙設計。專業的安全審計。廣泛的測試。仍然損失數十億！
我在思考這種持續發生的“如何”與“為何”。我越來越覺得，答案中有個令人不舒服的地方。
智能合約的安全性存在著人類的限制。
我的意思是這樣的。
一個大型的DeFi應用可能需要10,000到50,000行 Solidity 代碼。多個合約之間的關係。只有在不尋常的組合和/或順序中才會出現的異常輸入。涉及的不僅是代碼本身，還有攻擊者的動機。
人類審計員可以接受。最優秀的確令人驚嘆。
然而，人類會疲勞。當時間緊迫時，人類會遺漏！他們可以大致了解代碼的功能，但無法預見所有可能的攻擊方式。
對我來說，真正的問題是這個。
大多數智能合約漏洞並非尖端的零日漏洞，而是相當容易被發現的瑣碎漏洞。在大多數情況下，這些漏洞已經存在多年，並且是已知的漏洞模式，比如重入、整數溢出、存取控制失敗。
已知的模式。已知的解決方案。反覆出現，且花費巨大，但卻未被任何人類審查發現。
這不是天賦問題。這是規模與一致性的問題。
人類不可能記住所有已知的漏洞模式，同時還能調查新代碼的所有可能模式。這不是我們設計的用途，並行處理才是。
而AI正是如此。
這也是我覺得莫菲斯真正吸引我的地方。
莫菲斯不是一個通用AI助手，它只懂一些 Solidity。它被開發成為智能合約工程師的專家，專注於漏洞的知識、攻擊方式，以及最佳實踐的“如何做”，還有多年來加密代碼被利用的無數案例。
大多數情況下，這個專業並沒有被充分理解。
就像用通用AI模型來審查智能合約，等同於讓天才的全科醫生來做腦部手術。他們能輕易發現明顯的問題，但通過專業化和多年訓練在數千個漏洞案例、攻擊後期分析和安全研究中積累的模式識別能力，才是真正不同的。
專家模型不僅了解代碼的行為，還能理解其意圖。它知道代碼可能被對手利用來做什麼。
代碼審查與安全審查的區別。
但我必須誠實地說明一些限制。
AI安全工具的效果取決於其訓練數據。如果莫菲斯大多數時間都用歷史漏洞模式來訓練，它在檢測已知攻擊向量方面會非常有效。新型攻擊更難，因為它們尚未被記錄，也尚未被執行。
別忘了信任問題。毫不奇怪，智能合約開發者對新安全工具持懷疑態度。假陰性（未能檢測到漏洞）的後果可能非常嚴重。誤報則會造成安全的代碼被標記為不安全，導致開發者挫折與摩擦。
建立開發者對AI安全工具的信任還需要時間。這需要時間。
此外，還有對抗性適應的問題。隨著AI安全成為常態，攻擊者也會跟進。他們會尋找AI模型未能檢測到的模式。安全永遠是一場軍備競賽，將AI引入防禦並不會停止這場競賽，只是改變了攻擊者的優化方向。
但莫菲斯在這一切中並非毫無價值。它的獨特價值主張。
智能合約的黑客攻擊不可能完全被莫菲斯消除。它能做的是讓持續部署明顯漏洞的代碼變得更困難，識別重複出現的模式，並幫助減少人類審計員在已知風險上花費的時間，將寶貴的時間用於新風險的判斷，這些都需要人類的判斷力。
這是一個相當重要的事情。
2022年，38億美元。如果其中20%的漏洞提前被發現，並留在用戶錢包而非攻擊者地址，那麼就有7.6億美元留在用戶手中。
OpenLedger生態系統面臨的挑戰是，莫菲斯是否能建立其聲譽與開發者信心，並成為智能合約開發流程中的必備步驟，而非可選的。
一旦達到那個階段，它就是真正的基礎設施。
那種在值班時看不見的基礎設施，當它不在時就會造成災難。
你是否曾親身受到黑客或被利用的智能合約影響？你認為AI安全工具能做些什麼來預防這些事件？