-
细分领域的大规模覆盖:我们拥有庞大而专业化的数据集,这些数据集经过精心收集,专注于诸如 DeFi 借贷、NFT 市场以及基于 Move 的协议等高风险领域。这为特定领域的漏洞提供了无与伦比的上下文深度。
-
专家策划与清洗:我们的数据集不仅仅是抓取而来,而是由智能合约安全专家持续清洗、验证并加以丰富。该过程包括对已知漏洞的标注、安全编码模式的标记,以及无关噪音的过滤,从而为模型创造出高保真度的“真实基础”进行学习。这种人机协作的策划确保了我们的 AI 从最高质量的数据中学习,从而显著提升其准确性。
为了解决幻觉和误报这一关键问题,我们实现了一个复杂的双重系统,使 AI 的推理始终基于可验证的事实:
-
检索增强生成(RAG):我们的 AI 并非仅依赖其内部知识,而是在做出结论前持续查询实时知识库。该 RAG 系统会检索最新的漏洞研究、既定的安全最佳实践(例如 SWC 注册表、EIP 标准),以及来自类似且已成功审计协议的代码示例。这迫使 AI 必须“引用其来源”,确保其结论基于既有事实,而非概率性的猜测。
-
多层次审查模型:每一个由生成式 AI 识别出的潜在问题,都会经过严格的内部验证流程。这一过程包括由一系列专门化模型组成的自动化审查机制:交叉引用模型会将发现与 RAG 数据进行比对,经过微调的“审计员”模型会评估其技术有效性,最后“优先级”模型会判断其潜在的业务影响。通过这一流程,低置信度的结论和幻觉会在到达人类审计员之前被系统性地过滤掉。
为了实现超越简单“副驾驶”工具的深度、具备上下文感知的自动化,我们采用了一种协同方式,将确定性分析与智能代理结合起来:
-
静态分析作为基础:我们的流程首先通过全面的静态分析遍历来确定性地映射整个协议。这会生成完整的控制流图,识别所有状态变量,并追踪所有合约之间的函数依赖关系。该映射为我们的 AI 提供了一个基础的、客观的“世界观”。
-
上下文管理:框架维护了整个协议的丰富而整体的上下文。它不仅理解单个函数,还理解它们是如何相互作用的。这一关键能力使其能够分析状态变化的连锁效应,并识别复杂的跨合约交互漏洞。
-
AI Agent 协作:我们部署了一组专门化的 AI 代理,每个代理都针对特定任务进行训练。“访问控制代理”专门搜寻权限提升漏洞;“可重入代理”专注于检测不安全的外部调用;“算术逻辑代理”则仔细检查所有数学运算,以捕捉溢出或精度错误等边界情况。这些代理基于共享的上下文映射协同工作,能够发现单一、单体 AI 所遗漏的复杂攻击手法。