SecMet#5期 智能代码审计：机遇、挑战与解决方案

预览

[SecMet]是安全学术圈近期打造的一个线上线下结合的学术研讨模式，研讨会分为全公开和半公开模式，其中半公开模式仅对安全学术圈内部交流群和特殊专题投稿人员参加，每期主题根据领域主席（Primary Area Chair，下文简称AC）来拟定或者学术汇报者内容来拟定（有兴趣组织或者汇报的学者可以发邮件secdr@qq.com，感谢！！！）。

SecMet#5期主要为学术汇报方式进行，详细日程安排如下：

SecMet期数：#5

• 报告类型：全公开

• 报告嘉宾：孙宇强（NTU）

• 报告题目：智能代码审计：机遇、挑战与解决方案

• 报告时间：2024年7月15日(星期一)上午 10:00(北京时间)

• 线上：腾讯会议（600-207-733），加入密码：0715

• 线下：四川大学江安校区网安大楼822房间

报告人简介：

孙宇强，新加坡南洋理工大学博士三年级学生，指导老师为刘杨教授。在攻读博士学位之前，他曾于2021年在四川大学网络安全学院取得学士学位，指导老师为黄诚教授。他目前主要研究方向为自动化代码审计、漏洞检测，以及自动程序修复。同时，他还对软件供应链和开源治理相关的研究有较高的兴趣。他的研究发表在ASE，ICSE，Usenix Security等顶级会议上。

个人主页：https://aboutme.izaiahsun.com/

讲座内容简介：

代码审计一直是维护软件安全的重要措施，通过合适的代码审计，可以提前发现软件中存在的漏洞和缺陷。传统的基于静态分析的代码审计方式有着高效、高召回率和高可解释性等优势。但是也伴随着很高的误报率，难以拓展到新的漏洞类型，缺乏对代码的理解等问题。然后，越来越多的漏洞，难以通过死板的规则来描述，特别是在一些跟业务逻辑紧密相关的代码上，例如智能合约项目。随着大语言模型和代码摘要等相关技术的兴起，程序一定程度上可以理解待检测代码的语义。如何将相关技术应用到自动化代码审计和漏洞检测上，成为了一项有挑战性的题目。

在这次讲座中，主讲人将会分享他们在智能合约漏洞检测方面的五项研究，包括：

1. 第一个结合大语言模型和静态分析进行逻辑漏洞检测的工具，GPTScan。

2. 关于如何使用in-context learning提升大语言模型的漏洞检测能力的实证研究。

3. 使用微调以及多个专家模型，来提升大模型的漏洞检测能力。

4. 使用大语言模型生成形式化验证规则，进而检测代码中的漏洞。

5. 收集实践中安全和不安全的代码模式，来进行漏洞检测。

相关文献：

1. GPTScan: Detecting Logic Vulnerabilities in Smart Contracts by Combining GPT with Program Analysis

2. LLM4Vuln: A Unified Evaluation Framework for Decoupling and Enhancing LLMs’ Vulnerability Reasoning

3. Combining Fine-Tuning and LLM-based Agents for Intuitive Smart Contract Auditing with Justifications

4. PropertyGPT: LLM-driven Formal Verification of Smart Contracts through Retrieval-Augmented Property Generation

5. Using My Functions Should Follow My Checks: Understanding and Detecting Insecure OpenZeppelin Code in Smart Contracts

组办者

特别鸣谢本次SecMet主要组织者：

• 主办AC：黄诚 (四川大学)  https://chenghuang.org/、韩家璇 (四川大学)、赵建国 (四川大学)

历史SecMet

• SecMet#4期 大模型辅助静态分析的智能合约逻辑漏洞检测

• SecMet#3期 提示学习(Prompt Learning)的隐私泄漏风险分析

• SecMet#2期 基于提示词工程的大模型安全

• SecMet#1期 理解和度量大模型的安全问题

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com