Masamune：智能合约安全搜索工具

策划相关的安全信息具有挑战性，尤其是在有大量可用数据的情况下。

今天我们介绍 Masamune [ma-suh-moo-nay]↗，这是一个为智能合约开发者和安全研究人员设计的 开源工具↗。在这篇文章中，我们将深入探讨 Masamune 是什么，它是如何工作的，以及你如何使用它来改善代码库的安全态势。

什么是 Masamune？

Masamune 是一个允许用户搜索智能合约安全见解的实用工具。它可以从一个策划的审计报告、漏洞修复和各种协议的技术文档列表中识别潜在的陷阱。我们使提取见解变得简单，所有人都能使用，无论其安全专业知识水平如何。

目前，Masamune 有两个版本可用：V1 和 V2。它们的区别如下：

• V1 依赖于简单的正则表达式规则，该规则将你输入的关键词与所有数据源的集合进行匹配。这种方法的优势在于精确。你会得到所有包含你查询的特定关键词的结果。
• V2 是一种通过 AI 增强的正则搜索，现在仍在开发中。所有数据源都使用 OpenAI 的嵌入↗ 嵌入。然后我们通过 FAISS↗ 处理这些嵌入，FAISS 是一个用于高效相似性搜索的开源库。这种方法的优势在于上下文理解和更广泛的相关性——V2 能够解释你的查询背后的含义，提供上下文相关的结果，同时捕获简单正则搜索会遗漏的细微差别。

Masamune 是如何工作的？

Masamune 的设计考虑了简单性，遵循 帕累托 (80-20) 原则↗。该原则表明，80% 的结果来自于 20% 的努力。对于 Masamune 来说，这意味着该工具经过优化，以最小的查询工作提供最有价值的结果。这使其在建模你想要解决的问题的初始阶段时极具有效性。

例如，假设我们正在开发一个与 Uniswap 集成的协议。使用 V1，我们的查询将简单为“uniswap”。

然后，Masamune 列出了所有与“uniswap”匹配的结果，依据是它们的标题或正文。这些结果需要进一步的细节，因为我们的搜索目标是一个广泛的话题。假设我们想访问第二个结果，“UniswapConfig getters return wrong token config if token config does not exist”。在这个特定情况下，我们处理的是在 Code4rena 竞赛中发现的结果，因此是 GitHub 问题格式。通过 点击超链接↗，我们可以查看所有发现的详细信息。

这些信息有助于我们理解问题出在哪里，漏洞的影响是什么，以及如何减轻影响，以避免重复类似的错误。

尽管更具体的查询可能提供更多准确性，但 V1 中基于正则的搜索提供了一种直接且高效的方式来收集初始数据。这种简单性在开发的早期阶段是有利的，因为它能够快速识别一般相关的信息。

随着项目的发展，其复杂性不可避免地增加。这种日益增长的复杂性不仅需要快速见解，还要求能够理解上下文的高度特定的见解。代码库越深奥复杂，查询就必须越细致，以有效应对新出现的挑战。

为了满足这种对细致查询和更复杂见解的需求，我们开发了 V2。

对于智能合约开发者而言，跟踪最新的安全问题和漏洞修复是一项持续的挑战，很难知道你不知道什么。为简化这一学习曲线，V2 允许使用 OpenAI 嵌入进行更具有上下文意识的搜索，从而拓宽结果的广度。这样，即使无法利用 V1 的精准性，V2 的额外灵活性也可以吸引那些先前查询无法获得的结果。

结论

将 V1 的精确正则能力与 V2 的上下文意识和向量相似性搜索相结合，Masamune 提供了一种有效的方式来了解智能合约开发中的最新安全见解。

代码是开源的，你可以在 GitHub↗ 上查看。同时，Masamune 通过 GitHub 页面部署，地址为 masamune.app↗。

关于我们

Zellic 专注于保护新兴技术。我们的安全研究人员在从财富 500 强到 DeFi 巨头的最有价值目标中发现了漏洞。

开发者、创始人和投资者信任我们的安全评估，以便快速、自信、不带有关键漏洞地交付产品。凭借我们在实际攻击性安全研究方面的背景，我们发现了其他人所忽视的内容。

与我们联系↗，获取更优质的审计服务。真实的审计，不是走过场。

• 原文链接： zellic.io/blog/masamune-...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～