Ripple розгортає червону команду штучного інтелекту на XRP Ledger, ось що вона виявила

Ripple є інтегрування штучний інтелект протягом усього життєвого циклу розробки XRP-книга (XRPL), включаючи автоматизоване сканування коду, змагальне тестування та спеціалізовану червону команду за допомогою штучного інтелекту. Ці зусилля вже дають результати: червона команда виявила понад 10 помилок, при цьому проблеми меншої серйозності вже були розкриті публічно.

Чому Ripple зараз оновлює безпеку реєстру XRP?

Реєстр XRP працює безперервно З 2012За цей час компанія обробила понад 100 мільйонів записів у реєстрі та здійснила понад 3 мільярди транзакцій. Цей послужний список є значним, але він також має практичні наслідки: кодову базу, яка відображає понад десятиліття інженерних рішень, деякі з яких передували сучасним інструментам безпеки.

«Рішення щодо проектування, прийняті на ранніх етапах розвитку мережі, припущення, що діяли в меншому масштабі, та шаблони, що передували сучасним інструментам, разом формують те, як система працює сьогодні», – зазначив Ripple у нещодавній публікації в блозі.

Компанія пов'язує терміни цієї перебудови з розширенням ролі XRPL. Тепер мережа підтримує інституційні платежі, токенізацію активів реального світу та проекти фінансової інфраструктури, такі як ініціатива BLOOM Валютного управління Сінгапуру, програма, що підтримується центральним банком, що досліджує цифрові гроші та платежі. Оскільки робочі навантаження стають складнішими, а ставки вищими, Ripple стверджує, що одних лише старих підходів до тестування вже недостатньо.

Роль штучного інтелекту в сучасному тестуванні безпеки

Штучний інтелект не є чимось новим у сфері безпеки програмного забезпечення, але його застосування в протоколах блокчейн прискорилося. Інструменти машинного навчання можуть систематично досліджувати великі бази коду, виявляти поверхневі граничні випадки та імітувати поведінку зловмисника в масштабах, з якими ручний аналіз не може зрівнятися.

Важливий момент: під час двотижневого експерименту модель Claude Opus 4.6 від Anthropic виявила 22 вразливості в браузері Firefox, 14 з яких були класифіковані як дуже серйозні. Такий результат спонукав розробників блокчейну в галузі серйозніше поставитися до безпеки за допомогою штучного інтелекту.

Позиція Ripple полягає в тому, що зловмисники вже використовують подібні інструменти для пошуку вразливостей, що вимагає симетричної реакції з боку розробників.

Що насправді включає Стратегія безпеки штучного інтелекту Ripple?

Стратегія побудована навколо шести стовпів, які охоплюють усе: від написання коду до затвердження змін для живої мережі.

Основні технічні компоненти:

• Сканування коду за допомогою штучного інтелекту для кожного запиту на зняття (PR): Кожна запропонована зміна коду перевіряється за допомогою інструментів змагального сканування перед об'єднанням, що дозволяє виявляти проблеми раніше.
• Автоматизоване фаззинг та змагальне тестування: Ripple працює за принципом фузингу, що означає надсилання неочікуваних або неправильно сформованих вхідних даних до системи, щоб побачити, як вона відреагує, керуючись явними моделями загроз, а не випадковими вхідними даними.
• Моделювання загроз та картографування поверхні атаки: Нові та існуючі функції аналізуються з точки зору їхньої взаємодії одна з одною, а не лише того, як вони поводяться окремо.
• Моделювання крайового випадку: Інструменти штучного інтелекту генерують стресові сценарії, які було б недоцільно створювати вручну, особливо на межі, де старий код зустрічається з новим функціоналом.

Червона команда за допомогою штучного інтелекту

Червона команда з безпеки — це група, завдання якої полягає в тому, щоб думати та діяти як зловмисник. Ripple створила спеціальну червону команду за допомогою штучного інтелекту, яка спеціалізується саме на кодовій базі XRPL. Команда досліджує, як функції взаємодіють у реальних умовах, а не тестує кожну функцію окремо, де довговічні системи, як правило, найбільш вразливі.

Відкрийте для себе перспективні проекти...

Перспективні проекти...

(Реклама)

Стаття продовжується...

Червона команда вже виявила понад 10 помилок. Ripple заявляє, що всі виявлені проблеми пріоритетизовані та виправлені, а більш суттєві недоліки обробляються через скоординовані процеси розкриття інформації.

Як Ripple вирішує проблеми структурного коду?

Окрім активного тестування, Ripple працює над модернізацією самої базової кодової бази. Це вирішує категорію проблем, які одне лише тестування не може повністю вирішити.

У довговічних системах помилки часто виникають через структурні проблеми, а не через окремі помилки. Ripple визначив кілька таких випадків у XRPL:

• Обмежена безпека типів, що означає, що код не завжди дотримується суворих правил щодо того, які дані може приймати або повертати функція.
• Непослідовні моделі взаємодії між функціями, які були додані в різні моменти історії мережі.
• Недостатнє інваріантне забезпечення, коли припущення про те, як система повинна поводитися, формально не перевіряються самим кодом.
• Недокументовані або невиконані припущення, на які розробники неявно покладаються, але система їх не перевіряє.

Виправлення цих проблем робить систему більш передбачуваною та легшою для обдумування, зменшуючи ймовірність виникнення помилок внаслідок неочікуваних взаємодій.

Які зміни щодо поправок до XRPL?

Зміни – це механізм, за допомогою якого зміни на рівні протоколу активуються в реєстрі XRP. Вони вимагають консенсусу валідатора, перш ніж набудуть чинності.

Ripple підвищує планку щодо оцінки змін перед активацією. У майбутньому значні зміни протоколу вимагатимуть проведення численних незалежних аудитів безпеки, розширених програм винагороди за виявлені помилки для стимулювання зовнішніх дослідників та змагального тестування через атаки, які є структурованими заходами, де учасники активно намагаються зламати нові функції, перш ніж вони будуть запущені.

Ripple заявляє, що визначить та опублікує чіткі критерії готовності до безпеки у співпраці з XRPL Foundation, встановивши чіткі порогові значення для тестування, перевірки та оцінки ризиків, яким повинні відповідати зміни, перш ніж вони будуть впроваджені в мережі.

Що буде далі з реєстром XRP?

Ripple підтвердила, що наступний реліз XRPL буде повністю присвячений виправленню помилок та покращенню коду, без додавання нових функцій. Це сигналізує про навмисну ​​паузу в розробці функцій, щоб зосередитися на фундаментальній роботі.

Компанія також планує поглибити співпрацю із зовнішніми партнерами, включаючи XRPL Commons, XRPL Foundation, незалежних дослідників безпеки, операторів валідаторів та зовнішні фірми з безпеки. Розподіл зусиль щодо безпеки між кількома організаціями з різними поглядами є стандартною практикою в інфраструктурі з високими ставками, і Ripple зараз формалізує її для XRPL.

Розкриття інформації щодо безпеки, опубліковані висновки та отримані уроки будуть відкрито поширюватися серед широкого загалу в рамках чіткого зобов'язання щодо прозорості.

Висновок

Ripple впроваджує штучний інтелект на кожному етапі розробки XRP Ledger, від перевірки окремих змін коду до повномасштабного змагального моделювання реальної мережі. 

Червона команда вже знайшла понад 10 помилок, наступний реліз XRPL не міститиме нових функцій, а нові критерії безпеки для внесення змін розробляються разом з XRPL Foundation. Ці зусилля є прямою відповіддю на розширення ролі мережі в інституційних платежах та токенізації активів, де толерантність до збоїв інфраструктури близька до нуля.

Ресурси

1. Стаття в блозі від RippleПосилення безпеки реєстру XRP за допомогою штучного інтелекту для наступного етапу зростання

2. Звіт Tech In AsiaRipple додає перевірки безпеки за допомогою штучного інтелекту під час розробки XRP Ledger

3. Звіт від CoinDeskRipple звертається до штучного інтелекту для стрес-тестування XRP Ledger у міру масштабування інституційних випадків використання