Claude и другие языковые модели распознают типовые уязвимости в Solidity-коде за секунды, но полагаться только на ИИ рискованно. Модель пропускает контекстные ошибки логики, edge-case'ы и сложные взаимодействия между контрактами. Метод работает как первый фильтр перед профессиональным аудитом или ручной проверкой опытным разработчиком.
Claude находит классические ошибки: целочисленное переполнение, проблемы с доступом, неправильное использование делегатколла. Но логические дыры (ошибка бизнес-сценария), атаки через временные зависимости и комбинированные уязвимости модель может не заметить. Всегда перепроверяй ключевые функции вручную или через специализированный сканер вроде Slither.
Используй структурированный запрос: (1) вставь код контракта, (2) укажи версию Solidity, (3) попроси найти три категории — функции с доступом к критичным данным, обработка стейта и вызовы external адресам, (4) попроси выделить каждую находку по severity. Такой формат снижает риск шума и тяжелых ложноположительных.
Разбей анализ на части: (1) вскрой контракт в блокчейн-обозревателе (Etherscan, BscScan), (2) скопируй не весь контракт, а функции управления средствами и критичную логику (обычно 100–200 строк), (3) отправь в Claude с просьбой найти ошибки в управлении балансом и правах доступа, (4) параллельно запусти Slither если доступен GitHub исходник.
Модель не видит всего контекста: зависимостей от других контрактов, особенностей сети развёртывания (комиссии, таймауты), истории глиб контракта (были ли апгрейды). Плюс ИИ может ошибиться на интерпретации новых паттернов и специальных трюков оптимизации кода. На инвестиции ≥100 млн рублей лучше заказать профессиональный аудит.
Есть специализированные инструменты: Slither (статический анализ, бесплатный), OpenZeppelin Defender (мониторинг и аудит), Trail of Bits (профессиональный аудит, платно). Для первого скрина лучше комбо: Claude для быстрого разбора + Slither для автоматических проверок + ручной ревью.
Частично. Claude заметит явные ошибки в формулах (деление на ноль, неправильный порядок операций). Но тонкие баги типа потери точности при целочисленном делении, неправильного округления в многошаговых расчётах, фронт-ранирования — модель пропускает. Эти проверяют вручную с формальной математикой.
Исходный код смарт-контракта всегда публичен в блокчейне, поэтому его анализ в Claude не раскроет никаких приватных сведений. Но если вы анализируете приватный код стартапа, проверьте лицензию и согласие разработчика.
| Тип уязвимости | Claude % обнаружения | Slither % обнаружения |
|---|---|---|
| Reentrancy (повторный входу) | 75–85% | 92–98% |
| Integer Overflow (целочисленное переполнение) | 88–95% | 95–99% |
| Unchecked Call Return | 70–80% | 93–97% |
| Access Control Flaws | 65–75% | 80–88% |
| Параметр | Claude (ИИ-анализ) | Профессиональный аудит |
|---|---|---|
| Стоимость | Бесплатно–50 USD/месяц подписка | 5–50 тыс. USD за контракт |
| Время проверки | 5–15 минут | 1–4 недели |
| Точность обнаружения | 70–80% типовых ошибок | 95–99% всех ошибок |
| Логические баги и edge-case'ы | Пропускает часть | Находит систематически |
| Рекомендация для инвестиции | До 10 млн рублей | Свыше 100 млн рублей |
Откройте контракт в блокчейн-обозревателе (Etherscan для Ethereum, BscScan для BSC) или GitHub. Скопируйте полный текст основного контракта. Если код больше 2000 строк, выделите критичные функции (mint, burn, transfer, управление правами доступа).
Напишите: «Проанализируй этот Solidity-контракт версии [0.8.x]. Найди уязвимости в трех категориях: (1) функции управления токенами и средствами, (2) проверки прав доступа и управление ролями, (3) вызовы внешних контрактов и делегаты. Для каждой находки указа severity: Critical, High, Medium, Low». Вставьте код контракта.
Используйте Claude через веб (claude.ai) или API. Веб удобнее для разовых проверок, API выгоднее при большом потоке анализов. Дождитесь ответа — обычно это 30–60 секунд для контракта в 500 строк.
Прочитайте каждый найденный риск. Claude может привести ложные срабатывания (например, счесть проблему там, где специальный паттерн). Откройте код и убедитесь, что уязвимость действительно есть. Гуглите Solidity Security Best Practices если находка вам непонятна.
Если исходник контракта доступен на GitHub, установите Slither (pip install slither-analyzer) и запустите: slither <путь-до-контракта>. Сравните находки Slither с выводами Claude. Если оба инструмента указали на одну ошибку — это Red Flag, требующий срочной проверки.
Исходный код смарт-контракта всегда публичен в блокчейне, поэтому его анализ в Claude не раскроет никаких приватных сведений. Но если вы анализируете приватный код стартапа, проверьте лицензию и согласие разработчика.
Claude имеет базовое понимание AMM-логики, пулов ликвидности и механик мунт-берна. Но сложные взаимодействия между несколькими контрактами, flash-loan атаки и специфичные MEV-риски требуют человеческого анализа.
Нет. Claude пропускает логические баги, редкие паттерны и уязвимости, зависящие от действий пользователя или временных параметров. Обнаружение Claude — это необходимый, но недостаточный условие безопасности.
Не полностью. Claude обучена до апреля 2024, поэтому новые стандарты она знает слабо или вообще не знает. Для контрактов на новых стандартах лучше комбинировать ИИ-анализ с чтением официальной документации стандарта.
Один качественный анализ достаточен. Если результаты вас напугали — закажите профессиональный аудит или дождитесь, пока контракт будет задеплоен на продакшене несколько месяцев (история безопасности часто красноречивее, чем код).
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
