オープンソースのAIエージェントワークフロー：Solidityスマートコントラクト監査用

AI Agent Audit は、Rust で開発されたオープンソースのコマンドラインツールであり、AI を活用して Solidity スマートコントラクトのセキュリティレビューを支援します。現在パブリックベータ版として公開されており、専門家による手動監査を完全に代替するものではなく、プロセスを加速することを目的としています。

ツールの主なワークフローは以下の通りです。Foundry または Hardhat リポジトリのクローンとビルド、監査スコープとプロトコルドキュメントの生成、Slither を用いた静的解析によるコールグラフの構築、コントラクトの継承とインターフェース実装のインデックス作成、候補となる脆弱性の発見、検証と重複排除、そして最終的な監査レポートの生成です。これらの処理は、設定されたサードパーティの大規模言語モデル（LLM）プロバイダーに依存します。デフォルトでは OpenAI の Codex が推奨されており、検証とレポート生成に使用されます。また、Anthropic、Gemini、DeepSeek などのプロバイダーもサポートしています。

AI Agent Audit は、Code4rena コンテスト、Immunefi バグバウンティ、Sherlock、Cantina、および内部クライアント監査など、複数の監査タイプに対応しています。ユーザーは YAML 設定ファイルまたはコマンドラインオプションを使用して、監査対象のリポジトリ、コードフォルダ、除外ルールなどを柔軟に指定できます。さらに、ツールは自動的にコンテキストドキュメントを生成し、検証フェーズでは実行可能な PoC（概念実証）コードを生成して、高リスクまたは中リスクの脆弱性の有効性を確認します。

使用には、Rust ツールチェーン、Git、Slither、Foundry（Foundry プロジェクトの場合）、Node.js 18+（Hardhat プロジェクトの場合）のインストールが必要です。ユーザーはリポジトリをクローンし、環境変数を設定するだけで素早く開始できます。ツールは ChatGPT Codex セッションをキャッシュしてログインプロセスを簡素化するほか、API キーを直接使用することも可能です。また、Immunefi や Code4rena の報奨金ページからリポジトリ、ドキュメント、スコープを自動的に派生させる機能も備えており、各プラットフォームに合わせた報告言語と重要度処理を提供します。

AI Agent Audit は多くの監査ステップを自動化しますが、開発者はこれが人間の専門家による判断を代替するものではないと強調しています。すべての発見事項は、特に PoC 生成と最終レポート出力の前に、手動で検証する必要があります。このツールはすでに Code4rena プラットフォームで実戦テストされており、良好な結果を得ています。今後は、さらに多くのブロックチェーンプラットフォームや監査シナリオをサポートするためにプロジェクトは継続的に改良される予定です。