Ripple внедрява AI Red Team в XRP Ledger, ето какво откри

Рипъл е интегриране изкуствен интелект през целия жизнен цикъл на разработка на XRP книга (XRPL), включително автоматизирано сканиране на код, състезателно тестване и специален червен екип, подпомаган от изкуствен интелект. Усилията вече дават резултати: червеният екип е идентифицирал повече от 10 грешки, като досега са публично оповестени проблеми с по-ниска степен на сериозност.

Защо Ripple обновява сигурността на XRP Ledger сега?

XRP Ledger работи непрекъснато тъй като 2012През това време е обработила над 100 милиона записи в регистъра и е улеснила над 3 милиарда транзакции. Този опит е значителен, но има и практически последици: кодова база, която отразява повече от десетилетие инженерни решения, някои от които предшестват съвременните инструменти за сигурност.

„Решенията за проектиране, взети в по-ранни фази на мрежата, предположенията, които са валидни в по-малък мащаб, и моделите, които предшестват съвременните инструменти, заедно оформят начина, по който системата работи днес“, отбеляза Ripple в скорошна публикация в блога си.

Компанията свързва времето на тази основна промяна с разширяващата се роля на XRPL. Мрежата вече поддържа институционални плащания, токенизация на активи в реалния свят и проекти за финансова инфраструктура, като например инициативата BLOOM на Паричния орган на Сингапур, програма, подкрепена от централната банка, изследваща цифровите пари и плащания. Тъй като натоварването става все по-сложно, а залозите по-високи, Ripple твърди, че по-старите подходи за тестване сами по себе си вече не са достатъчни.

Ролята на изкуствения интелект в съвременното тестване на сигурността

Изкуственият интелект не е нов в софтуерната сигурност, но приложението му към блокчейн протоколите се е ускорило. Инструментите за машинно обучение могат систематично да изследват големи кодови бази, да разкриват повърхностни гранични случаи и да симулират поведение на нападателя в мащаб, който ръчният преглед не може да постигне.

Важен момент от данните: по време на двуседмичен експеримент, моделът Claude Opus 4.6 на Anthropic идентифицира 22 уязвимости в браузъра Firefox, 14 от които бяха класифицирани като изключително сериозни. Този вид резултат накара разработчиците на блокчейн технологии в цялата индустрия да приемат по-сериозно сигурността, подпомагана от изкуствен интелект.

Позицията на Ripple е, че злонамерените лица вече използват подобни инструменти за намиране на уязвимости, което изисква симетричен отговор от страна на разработчиците.

Какво всъщност включва стратегията за сигурност на изкуствения интелект на Ripple?

Стратегията е изградена около шест стълба, обхващащи всичко - от това как се пише кодът до това как промените се одобряват за работещата мрежа.

Основните технически компоненти са:

• Сканиране на код с помощта на изкуствен интелект при всяка заявка за изтегляне (PR): Всяка предложена промяна в кода се преглежда с помощта на инструменти за състезателно сканиране, преди да бъде обединена, като проблемите се откриват по-рано в процеса.
• Автоматизирано размиване и състезателно тестване: Ripple работи „размито“, което означава подаване на неочаквани или деформирани входни данни към системата, за да се види как тя реагира, водена от ясни модели на заплахи, а не от случайни входни данни.
• Моделиране на заплахи и картографиране на повърхността на атаката: Новите и съществуващите функции се анализират по отношение на това как взаимодействат помежду си, а не само как се държат изолирано.
• Симулация на гранични случаи: Инструментите с изкуствен интелект генерират стресови сценарии, които биха били непрактични за ръчно конструиране, особено на границите, където по-старият код среща по-нова функционалност.

Червеният екип, подпомаган от изкуствен интелект

Червеният екип по сигурността е група, чиято работа е да мисли и действа като нападател. Ripple е създала специален червен екип, подпомаган от изкуствен интелект, фокусиран специално върху кодовата база на XRPL. Екипът изследва как функциите взаимодействат в реални условия, вместо да тества всяка функция поотделно, където дълготрайните системи са най-крехки.

Открийте обещаващи проекти...

Перспективни проекти...

(Реклама)

Статията продължава...

Червеният екип вече е открил повече от 10 грешки. Ripple казва, че всички идентифицирани проблеми се приоритизират и отстраняват, като по-значимите открития се обработват чрез координирани процеси на разкриване.

Как Ripple се справя с проблемите със структурния код?

Освен активното тестване, Ripple работи по модернизирането на самата кодова база. Това е насочено към категория проблеми, които самото тестване не може да реши напълно.

В дълготрайните системи, грешките често произтичат от структурни проблеми, а не от изолирани грешки. Ripple е идентифицирал няколко от тях в XRPL:

• Ограничена безопасност на типа, което означава, че кодът не винаги прилага строги правила за това какъв тип данни може да приема или връща дадена функция.
• Непоследователни модели на взаимодействие между функции, които са били добавени в различни моменти от историята на мрежата.
• Недостатъчно инвариантно прилагане, при което предположенията за това как системата трябва да се държи не се проверяват формално от самия код.
• Недокументирани или неприложими предположения, на които разработчиците разчитат имплицитно, но системата не ги проверява.

Отстраняването на тези проблеми прави системата по-предсказуема и по-лесна за разсъждение, намалявайки вероятността от грешки, възникващи от неочаквани взаимодействия.

Какви са промените в XRPL измененията?

Измененията са механизмът, чрез който промените на ниво протокол се активират в XRP Ledger. Те изискват консенсус от валидатора, преди да влязат в сила.

Ripple вдига летвата за начина, по който се оценяват измененията преди активиране. В бъдеще значителните промени в протокола ще изискват множество независими одити за сигурност, разширени програми за откриване на грешки, за да се стимулират външни изследователи, и състезателно тестване чрез атаки, които са структурирани събития, където участниците активно се опитват да разбият нови функции, преди те да бъдат пуснати на пазара.

Ripple заявява, че ще определи и публикува ясни критерии за готовност за сигурност в сътрудничество с фондация XRPL, установявайки ясни прагове за тестване, преглед и оценка на риска, които измененията трябва да отговарят, преди да бъдат активирани в мрежата.

Какво следва за XRP Ledger?

Ripple потвърди, че следващото издание на XRPL ще бъде изцяло посветено на корекции на грешки и подобрения на кода, без да се включват нови функции. Това сигнализира за умишлено спиране на разработването на функции, за да се съсредоточи върху работата по основите.

Компанията планира също така да задълбочи сътрудничеството си с външни партньори, включително XRPL Commons, фондация XRPL, независими изследователи по сигурността, оператори на валидатори и външни фирми за сигурност. Разпределянето на усилията за сигурност между множество организации с различни перспективи е стандартна практика в инфраструктурата с високи залози и такава, която Ripple вече формализира за XRPL.

Разкритията за сигурност, публикуваните констатации и извлечените поуки ще бъдат споделяни открито с по-широката общност като част от изричен ангажимент за прозрачност.

Заключение

Ripple вгражда изкуствен интелект във всеки етап от разработването на XRP Ledger, от прегледа на отделните промени в кода до пълномащабната симулация на състезателната мрежа. 

Червеният екип вече е открил повече от 10 грешки, следващото издание на XRPL няма да съдържа нови функции, а нови критерии за сигурност за изменения се разработват съвместно с XRPL Foundation. Усилията са пряк отговор на разширената роля на мрежата в институционалните плащания и токенизацията на активи, където толерантността към инфраструктурни повреди е близка до нула.

Ресурси

1. Статия в блога от RippleУкрепване на сигурността на XRP регистъра с изкуствен интелект за следващата фаза на растеж

2. Доклад от Tech In AsiaRipple добавя AI проверки за сигурност в разработката на XRP Ledger

3. Доклад от CoinDeskRipple се обръща към изкуствен интелект за стрес тестване на XRP Ledger, тъй като институционалните случаи на употреба се мащабират