Компания Ripple запустила команду экспертов по искусственному интеллекту на платформе XRP Ledger, вот что она обнаружила.

Пульсация интеграции искусственный интеллект на протяжении всего жизненного цикла разработки Главная книга XRP (XRPL)В рамках этой работы были проведены автоматизированные проверки кода, тестирование с использованием методов противодействия и создана специальная группа «красных» с поддержкой ИИ. Результаты уже видны: группа «красных» выявила более 10 ошибок, при этом более мелкие проблемы уже были публично раскрыты.

Почему Ripple сейчас пересматривает систему безопасности реестра XRP?

XRP Ledger работает непрерывно. с 2012 годаЗа это время система обработала более 100 миллионов бухгалтерских записей и обеспечила проведение более 3 миллиардов транзакций. Этот послужной список значителен, но он также имеет практическое последствие: кодовая база отражает более чем десятилетние инженерные решения, некоторые из которых были приняты еще до появления современных инструментов обеспечения безопасности.

«Решения, принятые на более ранних этапах проектирования сети, предположения, которые оставались актуальными в меньшем масштабе, и модели, существовавшие до появления современных инструментов, в совокупности определяют то, как система функционирует сегодня», — отметила компания Ripple в недавнем сообщении в блоге.

Компания связывает сроки этой модернизации с расширением роли XRPL. Теперь сеть поддерживает институциональные платежи, токенизацию реальных активов и проекты финансовой инфраструктуры, такие как инициатива BLOOM Валютного управления Сингапура — программа центрального банка, изучающая цифровые деньги и платежи. По мере усложнения рабочих нагрузок и повышения ставок, Ripple утверждает, что одних только старых методов тестирования уже недостаточно.

Роль ИИ в современном тестировании безопасности

Искусственный интеллект не является чем-то новым в сфере безопасности программного обеспечения, но его применение к блокчейн-протоколам значительно ускорилось. Инструменты машинного обучения могут систематически исследовать большие кодовые базы, выявлять граничные случаи и моделировать поведение злоумышленников в масштабах, недоступных для ручного анализа.

Показательный пример: в ходе двухнедельного эксперимента модель Claude Opus 4.6 от Anthropic выявила 22 уязвимости в браузере Firefox, 14 из которых были классифицированы как крайне серьезные. Подобные результаты побудили разработчиков блокчейна по всей отрасли более серьезно отнестись к безопасности с использованием ИИ.

Позиция Ripple заключается в том, что злоумышленники уже используют аналогичные инструменты для поиска уязвимостей, что требует симметричного ответа со стороны разработчиков.

Что именно включает в себя стратегия Ripple по обеспечению безопасности ИИ?

Стратегия построена на шести основных принципах, охватывающих все аспекты, от написания кода до процедуры утверждения изменений для работающей сети.

К основным техническим компонентам относятся:

• Сканирование кода с помощью ИИ в каждом запросе на слияние (PR): Каждое предлагаемое изменение кода проверяется с помощью инструментов сканирования на наличие уязвимостей перед его слиянием, что позволяет выявлять проблемы на более ранних этапах процесса.
• Автоматизированное фаззинг-тестирование и состязательное тестирование: Ripple использует фаззинг, то есть подает в систему неожиданные или некорректные входные данные, чтобы посмотреть, как она отреагирует, руководствуясь явными моделями угроз, а не случайными входными данными.
• Моделирование угроз и картирование поверхности атаки: Новые и существующие функции анализируются с точки зрения их взаимодействия друг с другом, а не только с точки зрения их поведения в отрыве от контекста.
• Моделирование граничных случаев: Инструменты искусственного интеллекта генерируют стресс-сценарии, которые было бы нецелесообразно создавать вручную, особенно на стыке старого кода и новой функциональности.

Красная команда с поддержкой ИИ

В сфере безопасности «красная команда» — это группа, задача которой — мыслить и действовать как злоумышленник. Компания Ripple создала специальную «красную команду» с использованием искусственного интеллекта, которая занимается исключительно кодовой базой XRPL. Команда изучает взаимодействие функций в реальных условиях, а не тестирует каждую функцию изолированно, что обычно делает долгосрочные системы наиболее уязвимыми.

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Команда «красных» уже обнаружила более 10 ошибок. В Ripple заявляют, что все выявленные проблемы находятся в приоритетном порядке и устраняются, а более значимые результаты обрабатываются в рамках скоординированных процессов раскрытия информации.

Как Ripple решает проблемы, связанные с несоответствием строительным нормам?

Помимо активного тестирования, Ripple работает над модернизацией самого базового кода. Это позволяет решить ряд проблем, которые тестирование само по себе не может полностью устранить.

В системах с длительным сроком службы ошибки часто возникают из-за структурных проблем, а не из-за отдельных ошибок. Компания Ripple выявила несколько таких ошибок в XRPL:

• Ограниченная типобезопасность означает, что код не всегда строго соблюдает правила относительно того, какие данные может принимать или возвращать функция.
• Несогласованные модели взаимодействия между функциями, добавленными в разные моменты времени на протяжении истории сети.
• Недостаточное обеспечение инвариантности, когда предположения о том, как должна вести себя система, формально не проверяются самим кодом.
• Недокументированные или не соблюдаемые предположения, на которые разработчики неявно полагаются, но которые система не проверяет.

Устранение этих проблем делает систему более предсказуемой и понятной, снижая вероятность возникновения ошибок из-за неожиданных взаимодействий.

Какие изменения произойдут в связи с поправками к XRPL?

Поправки — это механизм, посредством которого в XRP Ledger активируются изменения на уровне протокола. Для вступления в силу они требуют консенсуса валидаторов.

Ripple повышает планку в отношении оценки изменений перед их активацией. В дальнейшем существенные изменения протокола потребуют проведения нескольких независимых проверок безопасности, расширения программ вознаграждения за обнаружение уязвимостей для стимулирования внешних исследователей, а также тестирования на уязвимости посредством «ататонов» — структурированных мероприятий, в ходе которых участники активно пытаются взломать новые функции до их запуска.

Компания Ripple заявляет, что в сотрудничестве с фондом XRPL Foundation она определит и опубликует четкие критерии готовности к обеспечению безопасности, установив ясные пороговые значения для тестирования, проверки и оценки рисков, которым должны соответствовать поправки, прежде чем они будут активированы в сети.

Что ждет XRP Ledger в будущем?

Компания Ripple подтвердила, что следующий релиз XRPL будет полностью посвящен исправлению ошибок и улучшению кода, без добавления новых функций. Это свидетельствует о преднамеренной паузе в разработке новых функций для сосредоточения на фундаментальной работе.

Компания также планирует углубить сотрудничество с внешними партнерами, включая XRPL Commons, XRPL Foundation, независимых исследователей в области безопасности, операторов валидаторов и внешние фирмы, занимающиеся вопросами безопасности. Распределение усилий по обеспечению безопасности между несколькими организациями с различными точками зрения является стандартной практикой в ​​инфраструктуре с высокими ставками, и Ripple сейчас формализует ее для XRPL.

Информация о нарушениях безопасности, опубликованные результаты исследований и извлеченные уроки будут открыто доступны широкой общественности в рамках четко сформулированного обязательства по обеспечению прозрачности.

Заключение

Компания Ripple внедряет искусственный интеллект на каждом этапе разработки XRP Ledger, от анализа отдельных изменений кода до полномасштабного моделирования взаимодействия с работающей сетью. 

Команда разработчиков уже обнаружила более 10 ошибок, следующий релиз XRPL не будет содержать новых функций, а новые критерии безопасности для внесения изменений разрабатываются совместно с фондом XRPL. Эти усилия являются прямым ответом на расширение роли сети в институциональных платежах и токенизации активов, где допустимый уровень сбоев инфраструктуры близок к нулю.

Ресурсы

1. Статья в блоге от RippleУкрепление безопасности реестра XRP с помощью ИИ для следующего этапа роста

2. Отчет от Tech In AsiaRipple добавляет проверки безопасности на основе ИИ в процесс разработки XRP Ledger.

3. Отчет от CoinDeskКомпания Ripple прибегает к искусственному интеллекту для стресс-тестирования XRP Ledger по мере расширения масштабов его использования в институциональных целях.