【论文速读】| LLM4FUZZ:利用大语言模型指导智能合约的模糊测试

最新推荐文章于 2024-07-26 13:24:37 发布
最新推荐文章于 2024-07-26 13:24:37 发布
阅读量1.1k 收藏 7
点赞数 12
分类专栏: 论文速读/精读 文章标签: 语言模型 智能合约 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73736695/article/details/138607947
版权

图片

本次分享论文:LLM4FUZZ: Guided Fuzzing of Smart Contracts with Large Language Models

基本信息

原文作者:Chaofan Shou, Jing Liu, Doudou Lu, Koushik Sen

作者单位:加州大学伯克利分校,加州大学欧文分校,Fuzzland公司

关键词:区块链,智能合约,Fuzzing,大语言模型

原文链接:

https://arxiv.org/pdf/2401.11108.pdf

开源代码:暂无

论文简介

随着区块链平台的迅速发展,智能合约在数字资产管理中的应用逐渐增多,同时也暴露出许多安全漏洞。本文介绍了一种名为“LLM4FUZZ”的创新方法,该方法利用大语言模型(LLMs)来智能地指导和优先处理模糊测试活动,从而优化智能合约的自动化安全分析。

传统的Fuzzing方法在探索庞大的状态空间时效率较低,但LLM4FUZZ通过使用LLM生成的指标来引导Fuzz工具,专注于那些更可能触发漏洞的代码区域和输入序列,从而显著提高测试的效率和覆盖率。

引言

随着区块链平台和去中心化应用的快速发展,管理数十亿美元数字资产的智能合约代码量急剧增加。不幸地,这些关键代码中的漏洞经常被黑客利用,导致了重大资产损失。因此,在部署前全面分析智能合约的安全性至关重要。

传统的人工审计大量的智能合约代码库容易出错,并且经常忽视边缘情况中的漏洞。为了克服这些限制,行业越来越倾向于使用自动化的方法,如测试、动态分析和形式验证。因此,开发能够有效指导Fuzz测试并提高其探索效率和安全性的新技术,对保障区块链生态系统的安全至关重要。

研究背景

区块链技术的快速进展使得智能合约成为管理大量数字资产的关键工具。尽管如此,智能合约中频繁出现的安全漏洞已导致巨大的资产损失。传统的安全审计方法主要依靠手动检查,而这种方法往往忽略了边缘案例中的漏洞。因此,业界已开始采用如动态分析和形式验证等自动化方法以提升审计效率。然而,目前的自动化Fuzz测试技术在理解代码的语义和状态依赖性方面表现不佳,难以高效地探索代码的复杂状态空间。因此,迫切需要开发更先进的解决方案以提高智能合约的安全测试效率。

相关工作

本论文综述了现有的智能合约Fuzzing技术,并指出它们主要依赖静态分析或动态执行跟踪来自动化地生成测试用例。然而,这些技术常局限于现有代码的API用法,难以探索新功能或深入挖掘潜在的复杂用例。

论文还讨论了大语言模型在程序代码生成中的应用,展示了这些模型为智能合约安全测试带来的新技术可能性。提出的LLM4FUZZ方法结合了大语言模型的分析能力与Fuzzing的动态测试优势,旨在显著提升智能合约测试的质量与效率。

实验设计

LLM4FUZZ首先把智能合约代码转换为抽象语法树(AST),进而执行深入的静态分析。接着,该系统利用大语言模型(LLMs)对代码进行分析,生成有关代码复杂度和潜在漏洞的度量指标。这些指标随后被用来指导Fuzz测试工具,优先针对那些更有可能触发漏洞的代码区域和输入序列进行测试。采用这种方法的LLM4FUZZ显著提升了测试的目标性和效率,有效减少了重复和无效的测试努力,加快了关键漏洞的发现和修复。这个流程的自动化和智能化显著增强了智能合约的安全验证过程。

实现方法

LLM4FUZZ实施了一个精细化的流程以优化智能合约的Fuzz测试。首先,该系统将智能合约代码转化为抽象语法树(AST),并执行静态分析来识别基本的代码特征。然后,通过大语言模型(LLMs)对这些特征进行详尽分析,产生关于代码区域的复杂性和潜在漏洞的度量指标。这些指标随后整合入Fuzzer的调度系统,以指导Fuzz测试工具优先针对那些潜在风险较高的区域。LLM4FUZZ通过这种方式显著提升了智能合约Fuzzing的效率和精确度,大幅减少了无目标探索的成本。

图片

研究评估

LLM4FUZZ已在多个去中心化金融(DeFi)项目中进行实际评估,并与传统Fuzzing技术相比表现出显著的性能提升。该技术在提升测试覆盖率、减少漏洞发现时间以及增强漏洞检测能力方面显示出优异的成效。

此外,在测试过程中,LLM4FUZZ成功识别了多个之前审计未发现的严重漏洞,这些漏洞涉及的潜在财务损失超过24万美元。这一成绩证明了LLM4FUZZ通过大语言模型优化智能合约Fuzzing流程的有效性,并凸显了其在智能合约安全领域的巨大应用潜力。

图片

论文结论

LLM4FUZZ通过结合大语言模型的深度语义分析功能,极大地提高了智能合约Fuzz测试的效率和成效。此方法智能地引导Fuzz测试工具专注于高风险的代码区域和输入序列,不仅提升了测试覆盖率,也在更短时间内识别出更多漏洞。随着区块链技术的广泛应用,LLM4FUZZ为智能合约的安全性验证提供了一种高效的新途径,有助于降低由漏洞引起的财务损失,并推动区块链生态系统的健康发展。

原作者:论文解读智能体

校对:小椰风

图片

图片

图片

云起无垠
关注
  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
MicroReader:@HackShanghai Pebble 智能手表速读
07-08
MicroReader 是一款 Pebble 应用程序,可在智能手表屏幕上逐字有效地闪现流式文本,内容根据个人用户的喜好量身定制。 注意:该项目是在 24 小时黑客马拉松期间创建的,因此代码需要很大的改进..特征鹅卵石部分显示...
速读测试测试自己! 你读多快?
02-19
速读测试描述一个有趣的小应用程序,用于测试阅读速度。 文本将开始在屏幕上闪烁,并逐渐增加速度。 一旦感觉到速度太快,请单击“停止”按钮,然后找出速度! 下图显示了该应用程序的概况:入门这是一个简单的应用...
论文速读】| 大语言模型是边缘情况模糊测试器:通过FuzzGPT测试深度学习库
m0_73736695的博客
04-17 1171
这篇论文提出了一种名为FuzzGPT的新方法,它利用语言模型(LLMs)生成非常规程序来测试深度学习(DL)库。通过对历史中引发错误的程序的研究,FuzzGPT能够生成更有效的测试程序,检测出多达76个错误,其中49个被确认为新的错误,包括11个高优先级错误或安全漏洞。
论文速读】| LLAMAFUZZ:大语言模型增强的灰盒模糊测试
m0_73736695的博客
06-27 949
本文探索了利用语言模型(LLM)增强灰盒模糊测试的方法。利用LLM的预训练知识生成新的有效输入,并通过成对变异种子进一步微调模型以有效学习结构化格式和变异策略。
AI论文速读 | 【综述】(LLM4TS)大语言模型用于时间序列
suzukiwudi的博客
02-25 1866
大型语言模型 (LLM) 在自然语言处理和计算机视觉等领域得到了广泛应用。除了文本、图像和图形之外,LLM还具有分析时间序列数据的巨大潜力,使气候、物联网、医疗保健、交通、音频和金融等领域受益。这篇综述论文利用LLM进行时间序列分析的各种方法进行了深入的探索和详细的分类。强调了法学硕士原始文本数据训练与时间序列数据的数值性质之间差距的固有挑战,并探索将LLM知识迁移和蒸馏到数值时间序列分析的策略。
AI论文速读 | TF-LLM:基于大语言模型可解释性的交通预测
suzukiwudi的博客
04-10 1220
交通流量预测为智能交通系统提供了重要的未来视角。可解释的预测为影响交通模式的因素提供了宝贵的见解,有助于城市规划者、交通工程师和政策制定者就基础设施发展、交通管理策略和公共交通规划做出明智的决策。尽管基于深度学习的预测方法广泛流行且准确性值得称赞,但其透明度和可解释性常常令人失望。最近,大规模时空数据的可用性和大型语言模型(LLM)的发展为城市交通预测开辟了新的机遇。随着LLM的流行,人们见证了基础模型在各种任务中潜在的推理和生成能力。将文本视为输入和输出,LLM在生成更直观和可解释的预测方面具有优势。
AI论文速读 | 大语言模型作为城市居民——利用LLM智能体框架生成人类移动轨迹
suzukiwudi的博客
03-05 1203
本文介绍了一种使用大型语言模型(LLM)集成到智能体框架中的新颖方法,以实现灵活高效的个人移动性生成。LLM通过有效处理语义数据并提供对各种任务建模的多功能性,克服了以前模型的局限性。本文的方法解决了将LLM与现实世界城市交通数据结合起来的迫切需求,重点关注三个研究问题:将LLM与丰富的移动数据结合起来,制定可靠的移动生成策略,以及探索LLM在城市交通中的应用。
论文速读】|对BusyBox进行模糊测试利用语言模型和崩溃重用挖掘嵌入式系统中的漏洞
m0_73736695的博客
06-21 603
本研究提出了利用语言模型(LLM)和崩溃重用技术来提高BusyBox模糊测试效率的方法,并通过实验证明了这些技术的有效性。
AI论文速读 | STG-LLM 大语言模型如何理解时空数据?
suzukiwudi的博客
02-25 1478
这篇论文介绍了STG-LLM(Spatial-Temporal Graph-Large Language Model),一种创新的方法,旨在利用大型语言模型(LLMs)进行时空预测。问题背景论文指出,尽管LLMs在自然语言处理和计算机视觉等领域表现出色,但将它们应用于时空预测任务仍然面临挑战,主要是因为文本数据与时空数据之间的差异。STG-LLM方法为了解决这一问题,论文提出了STG-LLM,它包含两个关键组件:STG-Tokenizer和STG-Adapter。
论文速读】|大语言模型(LLM)智能体可以自主利用1-day漏洞
m0_73736695的博客
04-25 852
本文展示了大语言模型(LLM)智能体如何自主利用现实世界中的1-day漏洞。本研究收集了包含关键严重级别在内的15个1-day漏洞数据集,并在提供漏洞描述的情况下,使用GPT-4成功地利用了其中87%的漏洞,其表现远超其他模型和开源漏洞扫描器。
AI论文速读 | TPLLM:基于预训练语言模型的交通预测框架
suzukiwudi的博客
03-13 1504
本文提出了TPLLM框架,一个基于预训练大型语言模型(LLMs)的交通预测系统,它通过结合序列和图嵌入层以及LoRA微调技术,能够在数据有限的情况下有效提高交通流量预测的准确性和泛化能力。
认知智能时代:知识图谱实践案例集(速读版).pdf
09-22
认知智能时代:知识图谱实践案例集(速读版) 本资源摘要信息涵盖了认知智能时代知识图谱实践案例集的概述、知识图谱标准化工作组、行业实践篇等多个方面的知识点。 知识图谱标准化工作组 知识图谱标准化工作组是...
探索式测试实践之路速读
03-23
自己感慨感慨下.  这边书基本都是说的探索式测试,什么是探索式测试,我看完之后的理解的就是一边测试一边修改测试方案,有一个雏形到一个完美的测试方案的测试方法。其实就类似“在黑暗中摸索前进”,过程中不断...
他用GPT-3实现了「量子速读
04-06
开发者Dan Shippers称,做出这个AI并不难,主要功臣就是语言模型GPT-3,另外再加几行代码就搞定了。 另外,这哥们儿甚至还嗅到了一丝商机: 网上现在有很多受版权保护的文本、音视频资料集,都能被做成聊天机器人...
智能合约中最常见的11种函数
以择人之心择己,以恕己之心恕人。
07-22 2608
注意,这些示例仅展示了基础概念,实际的智能合约可能需要更复杂的错误检查和安全措施。编写智能合约时务必小心,因为一旦部署,代码通常是不可更改的,任何错误都可能导致资金损失或其他严重后果。
2024钉钉杯A题思路详解
最新发布
全栈川川
07-26 1778
2024钉钉杯思路
常见的文心一言的指令
知码客
07-25 1591
文心一言,作为百度研发的预训练语言模型“ERNIE 3.0”的一项功能,能够与人对话互动,回答问题,协助创作,高效便捷地帮助人们获取信息、知识和灵感。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值