我发现可以利用 AI 来审查代码安全性。比如我最近一直在用的一个支持 STEEM 和 Blurt 的钱包插件,突然不能用了。我平时都是从 GitHub 上 clone 源码,然后在本地通过 “Load Unpacked Extension” 的方式加载插件,这样比较安全,因为不用担心 Chrome 插件自动更新时被加入恶意代码,比如偷偷上传用户私钥。
这次插件失效的原因是 Chrome 已经不再支持 Manifest V2 的扩展。虽然之前还有一段时间可以手动加载 V2 插件,但估计只是过渡期。我于是从 GitHub 上下载了 Whale Vault 钱包的插件代码(它支持多链,比如 STEEM 和 Blurt),然后用 VS Code 打开进行代码审核。我还让 Copilot 帮我一起检查代码,重点关注是否有上传用户私钥到云端的可疑逻辑。还好,审查下来没有发现安全问题,代码是可信的。
用 AI 来辅助检查插件或开源项目的安全性,确实是个非常实用的方式。
利用 AI 审查浏览器插件代码的安全性实践
近年来,浏览器插件被恶意代码入侵的案例屡见不鲜,尤其是在涉及加密钱包等敏感应用时,用户的私钥一旦泄露,将造成不可挽回的损失。为了规避此类风险,我在使用第三方钱包插件时,一直采取手动审核和本地加载的方式,确保使用的是可信的代码。
插件失效的契机
我原本一直在使用一个支持 STEEM 和 Blurt 的浏览器钱包插件,采用的是在 GitHub 上 clone 源码、通过 Chrome 的“Load Unpacked Extension”功能本地加载的方式。这种方式虽然稍微繁琐一些,但安全性高得多——避免了插件在自动更新时被偷偷加入上传私钥等恶意行为的风险。
然而最近,该插件突然无法加载。深入排查后发现,是因为 Chrome 浏览器已经全面停止对 Manifest V2 插件的支持。虽然之前还有一段时间可以手动加载 V2 插件,但这显然只是过渡期,现在已经完全被禁用了。
用 Copilot 辅助审核开源插件代码
在这种情况下,我转而寻找新的替代方案,并找到了一个支持多链(包括 STEEM 和 Blurt)的钱包插件 Whale Vault 钱包。同样是开源项目,我下载了其源码,在 VS Code 中进行审查。
为了提升审核效率,我这次尝试借助 GitHub Copilot 来协助安全审查。我的主要关注点在于:
- 是否存在上传私钥到云端服务器的逻辑;
- 是否使用了可疑的远程脚本;
- 是否有未经用户同意的数据收集行为等。
令人欣慰的是,Copilot 并未提示任何明显的恶意代码,我也未在源码中发现可疑行为,整体看起来是一个值得信赖的项目。
AI + 安全审查,是个不错的组合
这次经历让我更加确信:AI 在安全领域的应用潜力巨大。特别是在处理浏览器插件、加密钱包这类涉及用户敏感信息的应用时,人工逐行检查代码显然效率不高,而 AI 助手则可以快速聚焦潜在风险点,大大提升了代码审查的效率与准确性。
写在最后
随着浏览器插件生态的不断演进,我们很难完全依赖官方审核机制来保证每一个插件都安全无虞。对于涉及敏感权限的插件,建议开发者和高级用户:
- 尽量使用开源插件,并从官方仓库下载;
- 使用本地加载而非商店安装的方式;
- 借助 AI 工具(如 GitHub Copilot、CodeQL 等)进行静态代码分析;
- 必要时通过断点调试或网络抓包进一步验证运行时行为。
用 AI 审查代码,不仅是效率的提升,更是安全意识的体现。
用Copilot来审核区块链钱包代码
人工智能 / Artificial Intelligence
- Alpha Arena: AI 在真实市场的实盘对决与深度分析
- 怎么样通过提示词绕开ChatGPT等AI的换脸限制
- 用Copilot AI来审核区块链钱包代码
- 为什么AI下棋比走路简单? 莫拉维克悖论全解析(Moravec's Paradox)
- 苹果最新研究揭示: AI推理模型在复杂逻辑题面前“崩溃”与“放弃”
英文:Auditing Blockchain Wallet Code with Copilot AI
本文一共 1173 个汉字, 你数一下对不对.上一篇: 深入浅出 LEA 指令: x86 汇编中的地址计算神器
下一篇: 和媳妇约个会: 剑桥的过桥米线 Dumpling Trees
