Algorand提醒开发者避免在主网部署“氛围编码”智能合约

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

未经审查的AI生成代码之风险

智能合约漏洞可能导致资金瞬间且不可逆地损失，且无法通过法律途径追回。AI工具可能将用户数据存储在LocalState中，这是一种存在缺陷的模式——一旦用户执行ClearState操作，关键账户数据便会永久丢失。

Algorand建议的安全AI开发方法

在编写任何代码之前，应使用规划模式及智能体技能来设计安全的合约架构。开发者须确保私钥始终完全远离AI的触及范围，所有交易签名均应由操作系统级的密钥管理器处理，而不经由智能体。

该平台正敦促区块链开发者在将智能合约部署至主网前，采用严谨的AI辅助开发流程，明确区分轻率的AI生成代码与负责任的智能工程实践。

随着AI智能体已能在单次对话中构建并部署合约，风险之高前所未有。部署存在漏洞的智能合约意味着资金将面临即刻且不可挽回的损失。

未经审查的AI生成代码之风险

开发者已注意到整个Web3领域一个日益严峻的问题：AI编码工具虽能提升开发效率，但未经审核的代码蕴含巨大风险。与Web2的数据泄露不同，智能合约漏洞一旦产生便无法事后修补。因合约编写不当而流失的资金将永久丧失，且无法寻求法律救济。

团队曾举出一个具体案例：AI可能建议将用户余额存于LocalState，这看似正确。然而，用户可随时清空本地状态，且即使程序拒绝，ClearState操作仍会成功。这意味着关键账目数据可能毫无预警地消失。不理解所部署代码的开发者极易陷入此类隐蔽的陷阱。

平台通过一则公开分享，借鉴了“氛围式编码”与“智能体工程”的区别。前者指不经审查全盘接受AI输出；后者则强调开发者应始终作为架构师与最终决策者。

对于不可丢失的数据，平台建议使用BoxMap而非LocalState。此类细微差异正是合约能否稳健运行的关键。基于过时模式训练的AI工具通常不会自动标记这些问题，开发者必须凭借自身理解审慎对待每次部署。

Algorand建议的安全AI开发方法

平台概述了若干确保AI辅助开发安全且可维护的实践。开发者应在编写代码前使用规划模式，让智能体首先设计架构，生成涵盖状态模式、方法签名与访问控制的规范。审核该规划能在实施前发现设计缺陷。

智能体技能在引导AI遵循正确模式方面作用显著，这些经过编排的指令可将当前最佳实践直接融入开发流程。缺乏此类指导，AI很可能使用已弃用的接口或过时模式。结构化的提示能减少幻觉生成，产出更可靠的合约代码。

私钥必须始终完全隔绝于AI智能体。推荐使用通过操作系统级密钥管理器处理签名的工具，使AI在无需接触签名凭证的情况下请求交易。

此外，开发者应利用分析工具并模拟调用以发现边界情况。测试不应仅模拟用户操作，更需模拟攻击者可能采取的路径。