北京
我曾经是个智能合约安全研究员。
关键词:曾经。
不是因为我辞职了,而是我终于对自己诚实了一回——我到底在干什么。我用AI写审计报告。找漏洞是真的,但报告让AI包办。感觉很高效,甚至觉得自己很聪明。
然后现实开始打脸。
重复。一遍又一遍。别人比你更快提交了同样的发现。更糟的是:AI只标出合约里最明显的两个问题,就收工了。这不是审计,是扫一眼。AI在扫我客户的合约,而我往上签名。
这让我比想象中更难受。
所以我换了个问题。不是"怎么审得更快",而是:如果整个流程从头重建呢?便宜、真实、没法造假。安全研究员能信,开发者真用得起。
这就是Limbo的起点。还没做完,但建造它的故事已经值得一讲。
这个想法既简单又疯狂。四个工具——Slither、Mythril、Echidna、Halmos——从不同角度攻击合约。每个发现都先经Foundry验证,AI才能碰。AI在Limbo里不找漏洞,它确认漏洞。有区别,而这个区别就是一切。
我想让它像Certora那样,严谨、真实,不靠感觉。
然后到了好玩的部分。我需要个开发者。
你知道那种时刻吧,询价之后发现最低500到1000美元,而你正好一分没有?对。所以我做了唯一合理的决定:自己用AI造。
我知道这听起来怎样。
但没人告诉你用AI建造的真实情况。它不是自动售货机。你不能说完想要什么就看着它出现。你说完,它写代码,一半时间往完全不是你脑中的方向跑。你让它改。它根本不完全理解你在说什么。你再试。它自信地交出看起来对、完全错的东西。
就像你把愿景交给别人,拿回一张"跟你的愿景押韵"的画。
我买了Claude订阅。以为这就是答案。Claude确实是唯一真能理解上下文的,但即便如此,它犯的错多到不好笑。第一段跑完之后,我手里的不是Limbo,是个穿着Limbo衣服的骨架。
Slither没跑通。Mythril没跑通。Echidna和Halmos?它们看着我的提示说:这就是我们不是AI的原因。
两周调试整个代码库。不是建造,不是加功能。就是两周逐行摸索一个我从没进过的空间:Rust、Solidity工具链、Docker配置、依赖地狱。我本该雇个开发者的。两周才让Slither和Mythril能跑。Echidna和Halmos还在跟我打架。
而我还在干。
对技术人,这是Limbo具体做什么:
Limbo run
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
