对话Web3安全超级独角兽CertiK：「誉满天下，谤满天下」(12)

极客公园：大量的自动化审计，如何保证审计质量？
顾荣辉：这是一个好问题。为什么传统安全公司一直是小团队模式？因为规模化之后，很难保证安全率、安全质量。因为你一个月接 500 个订单，就算你的安全率达到 99%，平均每个月也会有 5 个项目爆雷。公司一下就不行了。
CertiK 是有一套监控系统（monitoring system），去监控我们的自动化审计 人工核对的工作是不是合格。每一份报告，我们都会根据安全专家的行为、报告结果、跟同类项目的比较，评出一个「自信分」（confident score）。一旦这份报告的自信分低于某个阈值，我们会启动相应流程处理。
极客公园：那为什么 2020 年「LIEN FINANCE」这个项目的漏洞，还是有人在网上帮你们找到的？
顾荣辉：理论上没有一种技术可以确保软件 100% 的安全。
我们从来不强调「CertiK 就是万无一失的」。这也是我们把所有审计报告公开的原因。公开的审计结果，给了所有人都可以来检查的机会，让更多人可以找到代码问题，让项目更安全，这比 CertiK 的品牌声誉重要得多的多。
极客公园：有项目方说，它找了好几家审计公司，CertiK 审出来的漏洞是最少的。
顾荣辉：我相信绝大部分情况不是这样的，目前市面上公开的报告可以佐证我们的观点。
不过确实有一些情况，比如有的项目方在和小团队合作时，小团队会把所有人都扑在一个项目上，会有非常频繁的沟通，很多小的问题也都会和项目方反复确认，有非常多的反馈和交互。但是 CertiK 是规模化的，是一次性的直接出报告，自动化程度高，会忽略我们认为不重要的问题，也缺少和项目方反复确认的过程。体验确实不同。
目前我们在针对这个问题进行改进，比如利用 ChatGPT，在实现规模化的同时带给客户更好的服务体验。
极客公园：因为 CertiK 审核过的代码出现漏洞，导致项目方损失，你们会承担什么责任吗？你们会跟项目方道歉吗？
顾荣辉：首先，这样的情况并不多。其次，如果出现损失，我们第一时间是帮用户减少损失、追回被盗资金。之后我们会出具很详细的报告，说明为什么会发生这个情况。责任的话，就像我们一直强调的，审计报告不是一枚章，不是「防弹证书」，而是一个动态的安全评估。
极客公园：你的同行表示，CertiK 审计了近 6000 个项目，暴雷了好几个。但它们审计了 2000 多个项目，却没有一个出问题。你怎么回应这个观点？