觀點作者:Jesus Rodriguez,Sentora聯合創始人
程式設計AI已經實現了產品市場契合。Web3也不例外。在AI將永久改變的領域中,智能合約審計特別成熟,亟待顛覆。
當今的審計是間歇性的、時點快照,在可組合、對抗性市場中難以應對,經常錯過經濟失效模式。
重心正在從手工PDF轉向持續的、基於工具的保障:模型與求解器、模糊測試器、模擬和實時遙測相結合。採用這種方法的團隊將更快交付,覆蓋面更廣;不採用的團隊面臨無法上市和無法投保的風險。
審計並不像你想像的那麼常見
審計成為Web3事實上的盡職調查儀式——可見的證明,表明有人在市場之前試圖破解你的系統。然而,這種儀式是前DevOps時代的產物。
傳統軟體將保障融入管道:測試、持續整合/持續部署門控、靜態和動態分析、金絲雀、功能標誌和深度可觀測性。安全性在每次合併時都像微審計一樣發揮作用。Web3重新引入了明確的里程碑,因為不可變性和對抗性經濟學移除了回滾逃生艙。顯而易見的下一步是將平台實踐與AI整合,確保保障始終開啟,而不是一次性事件。
智能合約審計的局限性
審計爭取時間和信息。它們迫使團隊闡明不變量(價值守恆、訪問控制、排序),測試假設(預言機完整性、升級權限),並在資本到位前壓力測試失效邊界。好的審計會留下資產:跨版本持續的威脅模型、成為回歸測試的可執行屬性,以及使事故變得無聊的運行手冊。這個領域必須發展。
局限性是結構性的。審計凍結了一個活躍的、可組合的機器。上游變化、流動性轉移、最大可提取價值(MEV)策略和治理行動可能使昨天的保障失效。範圍受時間和預算限制,使努力偏向已知漏洞類別,而新興行為(橋接、反射性激勵和跨去中心化自治組織交互)隱藏在尾部。報告可能產生虛假的結束感,因為發佈日期壓縮了分類過程。最具破壞性的失效往往是經濟性的,而非語法性的,因此需要模擬、代理建模和運行時遙測。
AI在智能合約編碼方面還不夠出色
現代AI在數據和反饋豐富的環境中表現出色。編譯器提供代幣級指導,模型現在可以搭建項目、翻譯語言和重構代碼。智能合約工程更加困難。正確性是時間性和對抗性的。在Solidity中,安全性取決於執行順序,以及攻擊者的存在(如重入、MEV和搶跑)、升級路徑(包括代理佈局和delegatecall上下文)以及gas/退款動態。
許多不變量跨越交易和協議。在Solana上,賬戶模型和並行運行時增加了約束(PDA派生、CPI圖、計算預算、免租餘額和序列化佈局)。這些屬性在訓練數據中稀缺,僅靠單元測試難以捕獲。當前模型在這方面不足,但通過更好的數據、更強的標籤和基於工具的反饋,這個差距是可以工程化解決的。
通向AI審計師的實用路徑
實用的構建路徑包含三個關鍵要素。
首先,審計模型,將大語言模型與符號和模擬後端混合。讓模型提取意圖、提出不變量並從習語中概括;讓求解器/模型檢查器通過證明或反例提供保障。檢索應該將建議建立在已審計模式的基礎上。輸出產物應該是攜帶證明的規範和可重現的漏洞軌跡——而不是有說服力的散文。
接下來,代理流程協調專門的代理:屬性挖掘器;構建跨橋接/預言機/金庫風險圖的依賴爬蟲;搜索最小資本漏洞的內存池感知紅隊;壓力測試激勵的經濟代理;排練金絲雀、時間鎖和緊急開關演練的升級主管;加上產生治理就緒簡報的總結器。系統表現得像神經系統——持續感知、推理和行動。
最後,評估,我們衡量重要的事情。除了單元測試,還要跟蹤屬性覆蓋率、反例產出、狀態空間新穎性、發現經濟失效的時間、最小漏洞資本和運行時警報精度。公共的、事故衍生的基準應該對漏洞族(重入、代理漂移、預言機偏斜、CPI濫用)和分類質量進行評分,而不僅僅是檢測。保障成為具有明確服務級別協議和保險公司、交易所和治理可以依賴的產物的服務。
為通用AI審計師留些空間
混合路徑很有吸引力,但規模趨勢表明另一種選擇。在相鄰領域,端到端協調工具的通用模型已經匹配或超越了專門的管道。
對於審計,一個足夠強大的模型——具有長上下文、強大的工具API和可驗證的輸出——可以內化安全習語,對長軌跡進行推理,並將求解器/模糊測試器視為隱式子程序。與長期記憶配對,單個循環可以起草屬性、提出漏洞、驅動搜索並解釋修復。即便如此,錨點很重要——證明、反例和監控的不變量——所以現在追求混合穩健性,同時觀察通用模型明天是否會壓縮管道的部分。
AI智能合約審計師不可避免
Web3結合了不可變性、可組合性和對抗性市場——在這種環境中,間歇性的手工審計無法跟上每個區塊都在變化的狀態空間。AI在代碼豐富、反饋密集、驗證機械化的地方表現出色。這些曲線正在收斂。無論獲勝形式是今天的混合還是明天的通用模型,端到端協調工具,保障正在從里程碑遷移到平台:持續的、機器增強的,並由證明、反例和監控的不變量錨定。
將審計視為產品,而不是交付物。啟動混合循環——CI中的可執行屬性、求解器感知助手、內存池感知模擬、依賴風險圖、不變量哨兵——並讓通用模型在成熟時壓縮管道。
AI增強的保障不僅僅是勾選一個框;它複合成為可組合、對抗性生態系統的運營能力。
觀點作者:Jesus Rodriguez,Sentora聯合創始人。