近日,中国科学院软件研究所集成创新中心研究团队在智能合约漏洞检测领域取得进展,提出了一种基于精准计算的检测模型,显著提升智能合约漏洞检测的准确性与可解释性。相关成果论文Smart-LLaMA-DPO: Reinforced Large Language Model for Explainable Smart Contract Vulnerability Detection被CCF-A类软件工程领域国际顶级会议ISSTA 2025接收,第一作者为博士生于磊,通讯作者为杨立副研究员与张凤军研究员。
随着区块链技术在各领域的广泛应用,智能合约的安全性日益受到重视。当前智能合约的漏洞检测普遍存在两方面问题:一是现有数据集覆盖漏洞类型有限,且缺乏高质量解释标注,导致模型难以精准学习漏洞模式;二是大语言模型对智能合约语义理解不足,易出现误判或解释逻辑错误,难以满足实际漏洞检测需求。
针对上述问题,研究团队提出一种智能合约漏洞检测新模型Smart-LLaMA-DPO。该模型首先基于持续预训练方法,嵌入智能合约语法、安全模式等专业领域知识,创建具有高质量解释标注的数据集。然后以精准计算为核心,即采用监督微调与直接偏好优化策略相结合的多阶段训练方法,通过工程师在漏洞检测中的实践反馈,迭代优化模型输出,确保模型对智能合约语义的充分理解,提升漏洞定位与解释的精准性。此外,还引入了开源大模型进一步训练Smart-LLaMA-DPO,并支持私有化部署与自动化更新。
Smart-LLaMA-DPO模型框架图
研究团队在以太坊、Hyperledger Fabric等主流区块链平台的智能合约公开数据集上进行了大规模测试。实验结果表明,Smart-LLaMA-DPO在重入漏洞、时间戳依赖等复杂场景下的误报率相较于最先进模型DMT仍分别降低了6.18%和1.46%,生成的漏洞解释在正确性、完整性和清晰度方面均获得81.15%以上的人工评估专家认可,相关代码与数据集已面向学术界和工业界开源。
Smart-LLaMA-DPO和各模型实验效果对比
目前,研究团队正与中科软科技股份有限公司合作推进技术转化,针对金融、供应链等场景开发定制化检测工具,构建智能合约漏洞知识图谱与自动化修复建议系统,助力实现企业智能合约全生命周期安全管理。
相关链接
- 论文地址:https://yangli8953.github.io/issta2025-ae-paper11.pdf
- 论文代码与数据集地址:https://doi.org/10.5281/zenodo.15200616