Octane Security 首席执行官兼创始人 Giovanni Vignone – 访谈系列

乔瓦尼·维尼奥内，首席执行官兼创始人 辛烷安全于 2022 年创立该公司，旨在满足 Web3 领域日益增长的主动网络安全需求。年仅 22 岁的他便着手构建一个人工智能平台，该平台如同一位全天候安全工程师——实时分析智能合约代码库，直接集成到 CI/CD 管道中，并捕捉传统审计经常遗漏的漏洞。

在本次对话中，我们探讨了 Octane 的使命，即将持续、可解释的漏洞检测嵌入到软件开发生命周期中，以及如何确保未来 聪明的合同.

是什么促使你决定离开杜克大学，全身心投入到 Octane 的研发中？有什么特别的时刻让你明白了这个机会吗？

在杜克大学三年级的时候，我获得了 OpenAI 平台的早期测试权限，并开始在加密货币智能合约上尝试大型语言模型。最终的结果让我大开眼界，看到了无限可能。

有一个特别的时刻让我印象深刻。我将一个智能合约输入到聊天界面，并要求它查找任何问题。结果需要改进，但我立刻就看到了使用 LLM 发现难以发现的漏洞的巨大潜力。那是在 2023 年 XNUMX 月。

当时，我看到整个行业都在发生各种黑客攻击和漏洞利用。我意识到修复这些安全问题迫在眉睫，而这些模型为我们提供了一种独特的解决方法。我突然意识到，现在正是全力投入 Octane 的最佳时机。

Octane 从概念到被主要加密公司采用的过程中面临的最大技术或运营挑战是什么？

最大的技术挑战是如何识别漏洞，并以用户实际可用的方式将其展示给他们。这非常困难，因为漏洞并非黑白分明——它们涉及多个维度。

当我们审视一个潜在的漏洞时，我们需要考虑以下几个方面：其影响是什么（会造成资金损失或重要信息泄露吗？）、漏洞利用的难易程度、如何修复漏洞，以及问题的根源。同时处理所有这些方面并清晰地呈现它们需要大量的工作。

我们投入了大量精力将每个组件产品化，以便客户能够使用 Octane 发现漏洞，快速了解漏洞的严重程度，并立即开始修复。构建能够跨不同代码库持续发现这些问题的系统，需要技术专业知识和大量关于各种漏洞的数据。

Octane 的目标是像每个开发团队中嵌入的 AI 安全工程师一样发挥作用。要在整个行业全面实现这一目标，需要哪些里程碑？

我们的第一个重要里程碑是改变开发者对安全性的认知——让他们从第一天就将安全性融入到产品中，而不是在产品发布前几周才开始着手。这意味着要让他们明白，从安全性入手实际上可以节省时间，让他们能够更早地解决问题。

我们还需要帮助用户看到并了解早期发现漏洞时会发生什么，以便他们能够亲身体验到好处。

在产品方面，我们需要支持除 Solidity 之外的更多语言——其他智能合约语言，最终也包括常规编程语言。我们一直致力于提高模型的准确性，并捕获更多类型的漏洞。

该平台将如何发展以应对网络钓鱼或基于恶意软件的攻击等复杂的、非基于代码的威胁？

实际上，我们现在已经处理了一些此类威胁。我们会标记中心化风险，这有助于团队了解哪些私钥和角色特别敏感。

我们还发现智能合约中常见的钓鱼模式，例如，当有人使用 tx.origin 进行调用者验证逻辑时，就可能引发钓鱼攻击。我们会向用户提示这些情况。

目前，Octane 主要用作部署前的安全工具，而非实时捕获威胁的工具。我们的计划是不断扩展代码上线前的检测能力，为开发人员提供工具，在潜在问题演变成实际攻击之前将其修复。

与传统的基于规则的系统相比，无监督机器学习（特别是聚类）如何成为对智能合约漏洞进行分类的更有效的方法？

无监督机器学习确实帮助我们找出了哪些类型的错误。虽然我们仍然使用基于规则的技术来构建监督模型，但无监督学习，尤其是聚类，可以帮助我们确定应该构建哪些模型以及如何确定它们的优先级。

这种方法让我们能够将模型分解为针对不同漏洞类型的更专业的分析流程。

我们实际上将监督式机器学习和无监督式机器学习结合起来使用——无监督学习用于了解情况，监督方法用于构建精确的检测能力。这种组合比仅仅依赖传统的基于规则的系统效果更好。

您能否分享一个例子，说明集群暴露了一类以前在审计或安全审查中未发现的新型漏洞？

聚类并非真正从零开始创建新的漏洞类别——而是利用现有数据，并以有意义的方式对其进行分组。我们的数据来自真实的链上漏洞利用、公开的漏洞报告以及其他智能合约漏洞来源。

无监督学习的真正优势在于，它能帮助我们完善对现有漏洞类别的理解。它能发现不同漏洞之间的模式和联系，而这些模式和联系原本可能会被忽视，这让我们能够构建更完善的检测方法。

通过这种模式识别和数据分组，我们创建了更细致的模型，可以捕捉已知漏洞类型的细微变化，而不是发现全新类别的漏洞。

Octane 如何处理漏洞不明确适合分类法中现有类别的边缘情况？

我们力求在分类法的“具体性”和“通用性”之间取得平衡。我们的类别和模型越通用，我们就越能捕捉到那些难以归类的奇怪边缘情况。但更具体的类别能为用户提供更清晰的解释，并让我们更一致地捕获已知的错误类型。

当我们遇到 Octane 遗漏的漏洞或与我们现有类别不完全匹配的漏洞时，我们会考虑是否应该在现有模型中添加有关该漏洞的更多数据，或者是否需要创建一个全新的模型来在将来捕获该类型的漏洞。

这种灵活的方法使我们能够不断提高检测能力，同时维护对用户有意义的框架。

在分析了数千个漏洞之后，智能合约漏洞中出现了哪些反复出现的模式或根本原因？

我们已经看到一些棘手的模式反复出现。可重入性仍然是智能合约中的一个主要问题。另一个主要问题来自于交易在内存池中公开可见的事实，这会产生漏洞，攻击者可以看到待处理的交易并窃取信息，甚至导致交易失败——人们称之为“抢先交易”，尽管它的发生方式多种多样。

我们还发现了许多源于开发人员简单失误的严重漏洞。这些漏洞过去被笼统地称为“逻辑错误”，但这种说法过于模糊。我们发现的一个常见错误是开发人员忘记在某些代码路径中更新他们真正需要的状态变量。

这些只是几个例子——我们对通过数据分析发现的所有错误进行了更详细的私人细分。

智能合约在不同生态系统和语言之间差异巨大。Octane 如何确保其模型在这些不同的环境中保持有效？

无论具体语言或生态系统如何，许多漏洞都遵循着共同的模式。这使我们能够构建模型，有效地在不同代码库中发现这些漏洞。

我们设计的模型专注于广泛适用于智能合约系统的基本安全原则，同时兼顾不同语言的特性。这种方法有助于我们在各种环境中保持高效，而无需为每种新语言重新构建所有内容。

通过关注漏洞的核心模式而不是表面细节，我们构建了可以适应多样化智能合约开发世界的模型。

基于人工智能的安全工具经常面临可解释性的质疑。Octane 如何确保漏洞分类和警报对开发人员可行？

我们在后端验证流程上投入了大量工作，通过额外的检查来验证漏洞。 

我们会仔细整理发现，将关键漏洞（可能真正影响代码库）与不太严重的问题或代表最佳实践的警告区分开来。这种分类有助于开发者专注于最重要的事项。

我们的用户界面设计简洁明了，突出显示最严重的问题，以便立即引起关注，而不是被淹没在一堆不太重要的警报中。通过提供清晰的解释并专注于可操作的内容，我们确保开发人员能够快速理解并修复我们发现的漏洞。

感谢您的精彩采访，想要了解更多信息的读者可以访问 辛烷安全.