Ripple nasadil červený tým s umělou inteligencí na XRP Ledger a zde je to, co zjistil

Vlnění je integrace umělá inteligence v celém vývojovém cyklu Kniha XRP (XRPL), včetně automatizovaného skenování kódu, adversarial testování a specializovaného červeného týmu s podporou umělé inteligence. Toto úsilí již přináší výsledky: červený tým identifikoval více než 10 chyb, přičemž méně závažné problémy byly dosud zveřejněny.

Proč Ripple právě teď přepracovává zabezpečení XRP Ledgeru?

XRP Ledger běží nepřetržitě. od 2012Za tu dobu zpracoval více než 100 milionů položek v účetní knize a zprostředkoval přes 3 miliardy transakcí. Tato historie je významná, ale má také praktický důsledek: kódovou základnu, která odráží více než desetiletí inženýrských rozhodnutí, z nichž některá předcházejí moderním bezpečnostním nástrojům.

„Rozhodnutí o návrhu učiněná v dřívějších fázích sítě, předpoklady, které platily v menším měřítku, a vzorce, které předcházely moderním nástrojům, společně formují fungování systému dnes,“ poznamenal Ripple v nedávném příspěvku na blogu.

Společnost spojuje načasování této přepracování s rozšiřující se rolí XRPL. Síť nyní podporuje institucionální platby, tokenizaci aktiv v reálném světě a projekty finanční infrastruktury, jako je iniciativa BLOOM Singapurského měnového úřadu, program podporovaný centrální bankou, který zkoumá digitální peníze a platby. Vzhledem k tomu, že se pracovní zátěž stává složitější a sázky rostou, Ripple tvrdí, že starší testovací přístupy samy o sobě již nestačí.

Role umělé inteligence v moderním bezpečnostním testování

Umělá inteligence není v oblasti softwarové bezpečnosti novinkou, ale její aplikace v blockchainových protokolech se zrychlila. Nástroje strojového učení dokáží systematicky prozkoumávat rozsáhlé kódové základny, povrchově zjišťovat okrajové případy a simulovat chování útočníků v rozsahu, kterému se manuální kontrola nemůže rovnat.

Relevantní údaj: během dvoutýdenního experimentu identifikoval model Claude Opus 4.6 od společnosti Anthropic 22 zranitelností v prohlížeči Firefox, z nichž 14 bylo klasifikováno jako vysoce závažné. Tento druh výsledku přiměl vývojáře blockchainu v celém odvětví, aby brali bezpečnost s pomocí umělé inteligence vážněji.

Postoj společnosti Ripple je, že škodliví aktéři již používají podobné nástroje k nalezení zranitelností, což vyžaduje symetrickou reakci ze strany vývoje.

Co vlastně zahrnuje strategie zabezpečení umělé inteligence od Ripple?

Strategie je postavena na šesti pilířích, které pokrývají vše od psaní kódu až po schvalování změn pro živou síť.

Hlavní technické komponenty jsou:

• Skenování kódu s pomocí umělé inteligence u každého pull requestu (PR): Každá navrhovaná změna kódu je před sloučením zkontrolována pomocí nástrojů pro kontrolu protichůdnosti, čímž se problémy odhalí dříve v procesu.
• Automatizované fuzzing a adversarial testování: Ripple spouští fuzzing, což znamená, že do systému zasílá neočekávané nebo chybně formátované vstupy, aby se zjistilo, jak reaguje, a to na základě explicitních modelů hrozeb, nikoli náhodných vstupů.
• Modelování hrozeb a mapování povrchu útoku: Nové a stávající funkce jsou analyzovány z hlediska toho, jak spolu interagují, nikoli pouze z hlediska toho, jak se chovají izolovaně.
• Simulace okrajových případů: Nástroje umělé inteligence generují stresové scénáře, které by bylo nepraktické konstruovat ručně, zejména na hranicích, kde se starší kód setkává s novějšími funkcemi.

Červený tým s podporou umělé inteligence

Červený tým v oblasti bezpečnosti je skupina, jejímž úkolem je myslet a jednat jako útočník. Ripple zřídil specializovaný červený tým s podporou umělé inteligence, který se zaměřuje konkrétně na kódovou základnu XRPL. Tým zkoumá, jak funkce interagují v reálných podmínkách, spíše než aby testoval každou funkci izolovaně, což je oblast, kde bývají dlouhodobé systémy nejzranitelnější.

Objevte slibné projekty...

Slibné projekty...

(Inzerát)

Článek pokračuje...

Červený tým již našel více než 10 chyb. Ripple uvádí, že všechny identifikované problémy jsou upřednostňovány a opravovány, přičemž závažnější zjištění jsou řešena prostřednictvím koordinovaných procesů zveřejňování.

Jak Ripple řeší problémy se strukturálním kódem?

Kromě aktivního testování pracuje Ripple na modernizaci samotné kódové základny. Tím se řeší kategorie problémů, které samotné testování nemůže plně vyřešit.

V dlouhodobých systémech chyby často pramení ze strukturálních problémů, nikoli z ojedinělých chyb. Ripple v XRPL identifikoval několik z nich:

• Omezená typová bezpečnost, což znamená, že kód ne vždy vynucuje striktní pravidla o tom, jaký druh dat může funkce přijímat nebo vracet.
• Nekonzistentní vzorce interakce mezi funkcemi, které byly přidány v různých bodech historie sítě.
• Nedostatečné invariantní vynucování, kdy předpoklady o tom, jak by se systém měl chovat, nejsou formálně ověřovány samotným kódem.
• Nedokumentované nebo nevynucené předpoklady, na které se vývojáři implicitně spoléhají, ale systém je neověřuje.

Oprava těchto problémů činí systém předvídatelnějším a snáze se o něm uvažuje, což snižuje pravděpodobnost chyb vznikajících v důsledku neočekávaných interakcí.

Jaké jsou změny v dodatcích XRPL?

Změny jsou mechanismem, kterým se v XRP Ledgeru aktivují změny na úrovni protokolu. Před jejich projevením je vyžadován souhlas validátora.

Ripple zvyšuje laťku pro způsob, jakým jsou dodatky před aktivací vyhodnocovány. Významné změny protokolu budou v budoucnu vyžadovat několik nezávislých bezpečnostních auditů, rozšířené programy odměn za nalezené chyby, které budou motivovat externí výzkumníky, a testování v rámci tzv. „attackathonů“, což jsou strukturované akce, kde se účastníci aktivně snaží prolomit nové funkce před jejich spuštěním.

Společnost Ripple uvádí, že ve spolupráci s nadací XRPL definuje a zveřejní explicitní kritéria bezpečnostní připravenosti, která stanoví jasné prahové hodnoty pro testování, kontrolu a posouzení rizik, jež musí změny splňovat, než budou v síti povoleny.

Co bude dál s XRP Ledgerem?

Ripple potvrdil, že další verze XRPL bude věnována výhradně opravám chyb a vylepšením kódu, bez zahrnutí nových funkcí. To signalizuje záměrné pozastavení vývoje funkcí s cílem soustředit se na práci na základech.

Společnost také plánuje prohloubit spolupráci s externími partnery, včetně XRPL Commons, XRPL Foundation, nezávislých bezpečnostních výzkumníků, provozovatelů validátorů a externích bezpečnostních firem. Rozdělení bezpečnostních aktivit mezi více organizací s různými perspektivami je standardní praxí v oblasti vysoce rizikové infrastruktury, kterou Ripple nyní formalizuje pro XRPL.

Bezpečnostní prohlášení, zveřejněná zjištění a získané poznatky budou otevřeně sdíleny s širší komunitou v rámci explicitního závazku transparentnosti.

Závěr

Ripple začleňuje umělou inteligenci do každé fáze vývoje XRP Ledgeru, od kontroly jednotlivých změn kódu až po plnohodnotnou adversarial simulaci živé sítě. 

Červený tým již našel více než 10 chyb, další verze XRPL nebude obsahovat žádné nové funkce a ve spolupráci s XRPL Foundation se vyvíjejí nová bezpečnostní kritéria pro dodatky. Toto úsilí je přímou reakcí na rozšířenou roli sítě v institucionálních platbách a tokenizaci aktiv, kde je tolerance k selhání infrastruktury téměř nulová.

Zdroje

1. Článek na blogu od RipplePosílení zabezpečení XRP Ledgeru pomocí umělé inteligence pro další fázi růstu

2. Zpráva společnosti Tech In AsiaRipple přidává bezpečnostní kontroly umělé inteligence do vývoje XRP Ledgeru

3. Zpráva od CoinDeskuRipple se obrací na umělou inteligenci k zátěžovému testování XRP Ledgeru s rostoucím počtem institucionálních případů použití.