ریپل تیم قرمز هوش مصنوعی را روی دفتر کل XRP مستقر می‌کند، این چیزی است که آنها پیدا کردند

ریپل است یکپارچه سازی هوش مصنوعی در سراسر چرخه عمر توسعه کامل XRP Ledger (XRPL)از جمله اسکن خودکار کد، آزمایش خصمانه و یک تیم قرمز اختصاصی با کمک هوش مصنوعی. این تلاش در حال حاضر نتیجه داده است: تیم قرمز بیش از 10 اشکال را شناسایی کرده است که تاکنون مشکلات با شدت کمتر به صورت عمومی افشا شده‌اند.

چرا ریپل اکنون در حال بازنگری اساسی در امنیت دفتر کل XRP است؟

دفتر کل XRP به طور مداوم در حال اجرا بوده است از سال 2012در این مدت، بیش از ۱۰۰ میلیون ورودی دفتر کل را پردازش کرده و بیش از ۳ میلیارد تراکنش را تسهیل کرده است. این سابقه قابل توجه است، اما یک نتیجه عملی نیز به همراه دارد: کدبیسی که بیش از یک دهه تصمیمات مهندسی را منعکس می‌کند، که برخی از آنها پیش از ابزارهای امنیتی مدرن وجود داشته‌اند.

ریپل در یک پست وبلاگ اخیر خود خاطرنشان کرد: «تصمیمات طراحی گرفته شده در مراحل اولیه شبکه، فرضیاتی که در مقیاس کوچکتر وجود داشتند و الگوهایی که قبل از ابزارهای مدرن وجود داشتند، در مجموع نحوه عملکرد سیستم امروز را شکل می‌دهند.»

این شرکت زمان‌بندی این بازنگری را به نقش رو به گسترش XRPL مرتبط می‌داند. این شبکه اکنون از پرداخت‌های نهادی، توکن‌سازی دارایی‌های دنیای واقعی و پروژه‌های زیرساخت مالی مانند طرح BLOOM سازمان پولی سنگاپور، یک برنامه تحت حمایت بانک مرکزی که به بررسی پول و پرداخت‌های دیجیتال می‌پردازد، پشتیبانی می‌کند. با پیچیده‌تر شدن حجم کار و افزایش ریسک، ریپل استدلال می‌کند که رویکردهای آزمایشی قدیمی دیگر به تنهایی کافی نیستند.

نقش هوش مصنوعی در تست امنیت مدرن

هوش مصنوعی در امنیت نرم‌افزار چیز جدیدی نیست، اما کاربرد آن در پروتکل‌های بلاکچین سرعت گرفته است. ابزارهای یادگیری ماشین می‌توانند به طور سیستماتیک پایگاه‌های کد بزرگ، موارد حاشیه‌ای سطحی و رفتار مهاجم را در مقیاسی شبیه‌سازی کنند که بررسی دستی نمی‌تواند با آن مطابقت داشته باشد.

یک نکته‌ی مرتبط: طی یک آزمایش دو هفته‌ای، مدل Claude Opus 4.6 شرکت Anthropic، 22 آسیب‌پذیری را در مرورگر فایرفاکس شناسایی کرد که 14 مورد از آنها به عنوان بسیار شدید طبقه‌بندی شدند. این نوع نتیجه، توسعه‌دهندگان بلاکچین در سراسر صنعت را بر آن داشته است تا امنیت مبتنی بر هوش مصنوعی را جدی‌تر بگیرند.

موضع ریپل این است که بازیگران مخرب در حال حاضر از ابزارهای مشابهی برای یافتن آسیب‌پذیری‌ها استفاده می‌کنند، که مستلزم پاسخ متقارن از طرف توسعه‌دهنده است.

استراتژی امنیتی هوش مصنوعی ریپل واقعاً شامل چه مواردی می‌شود؟

این استراتژی حول شش ستون بنا شده است که همه چیز را از نحوه نوشتن کد گرفته تا نحوه تأیید تغییرات برای شبکه زنده پوشش می‌دهد.

اجزای فنی اصلی عبارتند از:

• اسکن کد با کمک هوش مصنوعی در هر درخواست pull (PR): هر تغییر کد پیشنهادی قبل از ادغام با استفاده از ابزارهای اسکن خصمانه بررسی می‌شود و مشکلات در مراحل اولیه فرآیند شناسایی می‌شوند.
• فازینگ خودکار و تست تخاصمی: ریپل فازینگ را اجرا می‌کند، به این معنی که ورودی‌های غیرمنتظره یا ناقص را به سیستم می‌دهد تا ببیند چگونه پاسخ می‌دهد، که توسط مدل‌های تهدید صریح به جای ورودی‌های تصادفی هدایت می‌شود.
• مدل‌سازی تهدید و نگاشت سطح حمله: ویژگی‌های جدید و موجود از نظر نحوه تعامل با یکدیگر، و نه فقط نحوه رفتار جداگانه آنها، مورد تجزیه و تحلیل قرار می‌گیرند.
• شبیه‌سازی حالت مرزی: ابزارهای هوش مصنوعی سناریوهای استرس‌زایی ایجاد می‌کنند که ساخت دستی آنها غیرممکن است، به خصوص در مرزهایی که کد قدیمی‌تر با قابلیت‌های جدیدتر تلاقی می‌کند.

تیم قرمز با کمک هوش مصنوعی

یک تیم قرمز در امنیت، گروهی است که وظیفه‌اش فکر کردن و عمل کردن مانند یک مهاجم است. ریپل یک تیم قرمز اختصاصی با کمک هوش مصنوعی ایجاد کرده است که به طور خاص بر روی کدبیس XRPL تمرکز دارد. این تیم به جای آزمایش هر ویژگی به صورت جداگانه، که در آن سیستم‌های با عمر طولانی شکننده‌ترین هستند، نحوه تعامل ویژگی‌ها را در شرایط دنیای واقعی بررسی می‌کند.

پروژه‌های امیدبخش را کشف کنید...

پروژه‌های نویدبخش ...

(تبلیغات)

ادامه مقاله...

تیم قرمز تاکنون بیش از ۱۰ اشکال امنیتی پیدا کرده است. ریپل می‌گوید تمام مشکلات شناسایی‌شده در حال اولویت‌بندی و رفع هستند و یافته‌های مهم‌تر از طریق فرآیندهای افشای هماهنگ‌شده بررسی خواهند شد.

ریپل چگونه مشکلات ساختاری کد را حل می‌کند؟

فراتر از آزمایش فعال، ریپل در حال تلاش برای مدرن‌سازی خودِ کدبیسِ زیربنایی است. این کار به دسته‌ای از مشکلاتی می‌پردازد که آزمایش به تنهایی نمی‌تواند آنها را به طور کامل حل کند.

در سیستم‌های با عمر طولانی، اشکالات اغلب از مسائل ساختاری ناشی می‌شوند تا اشتباهات منفرد. ریپل چندین مورد از این موارد را در XRPL شناسایی کرده است:

• ایمنی نوع محدود، به این معنی که کد همیشه قوانین سختگیرانه‌ای در مورد نوع داده‌هایی که یک تابع می‌تواند بپذیرد یا برگرداند، اعمال نمی‌کند.
• الگوهای تعاملی متناقض بین ویژگی‌هایی که در مقاطع مختلف در طول تاریخچه شبکه اضافه شده‌اند.
• اجرای ناکافی و ثابت، که در آن فرضیات مربوط به نحوه رفتار سیستم به طور رسمی توسط خود کد بررسی نمی‌شوند.
• فرضیات مستند نشده یا اجرا نشده‌ای که توسعه‌دهندگان به طور ضمنی به آنها تکیه می‌کنند اما سیستم آنها را تأیید نمی‌کند.

رفع این مشکلات، سیستم را قابل پیش‌بینی‌تر و استدلال در مورد آن را آسان‌تر می‌کند و احتمال بروز اشکالات ناشی از تعاملات غیرمنتظره را کاهش می‌دهد.

چه تغییراتی در اصلاحات XRPL ایجاد می‌شود؟

اصلاحات مکانیسمی هستند که از طریق آن تغییرات سطح پروتکل در دفتر کل XRP فعال می‌شوند. آنها قبل از اعمال، نیاز به اجماع اعتبارسنج دارند.

ریپل در حال افزایش استانداردها برای نحوه ارزیابی اصلاحات قبل از فعال‌سازی است. در آینده، تغییرات قابل توجه پروتکل نیازمند ممیزی‌های امنیتی مستقل متعدد، برنامه‌های پاداش در ازای اشکال گسترده‌تر برای تشویق محققان خارجی و آزمایش‌های خصمانه از طریق Attackathons است، که رویدادهای ساختاریافته‌ای هستند که در آن‌ها شرکت‌کنندگان به طور فعال سعی می‌کنند ویژگی‌های جدید را قبل از راه‌اندازی، از بین ببرند.

ریپل می‌گوید که معیارهای آمادگی امنیتی صریح را با همکاری بنیاد XRPL تعریف و منتشر خواهد کرد و آستانه‌های روشنی را برای آزمایش، بررسی و ارزیابی ریسک تعیین خواهد کرد که اصلاحات باید قبل از فعال شدن در شبکه، آنها را رعایت کنند.

قدم بعدی برای دفتر کل XRP چیست؟

ریپل تأیید کرد که نسخه بعدی XRPL کاملاً به رفع اشکالات و بهبود کد اختصاص داده خواهد شد و هیچ ویژگی جدیدی در آن گنجانده نشده است. این نشان دهنده یک مکث عمدی در توسعه ویژگی‌ها برای تمرکز بر کارهای بنیادی است.

این شرکت همچنین قصد دارد همکاری خود را با شرکای خارجی از جمله XRPL Commons، بنیاد XRPL، محققان امنیتی مستقل، اپراتورهای اعتبارسنج و شرکت‌های امنیتی خارجی عمیق‌تر کند. توزیع تلاش‌های امنیتی بین سازمان‌های متعدد با دیدگاه‌های مختلف، یک رویه استاندارد در زیرساخت‌های پرمخاطره است و ریپل اکنون در حال رسمی‌سازی آن برای XRPL است.

افشای اطلاعات امنیتی، یافته‌های منتشر شده و درس‌های آموخته شده، به عنوان بخشی از تعهد صریح به شفافیت، به صورت آشکار با جامعه گسترده‌تر به اشتراک گذاشته خواهد شد.

نتیجه

ریپل در حال گنجاندن هوش مصنوعی در هر مرحله از توسعه دفتر کل XRP است، از بررسی تغییرات کد منفرد گرفته تا شبیه‌سازی کامل شبکه زنده. 

تیم قرمز تاکنون بیش از ۱۰ اشکال پیدا کرده است، نسخه بعدی XRPL هیچ ویژگی جدیدی نخواهد داشت و معیارهای امنیتی جدیدی برای اصلاحات با بنیاد XRPL در حال تدوین است. این تلاش، پاسخی مستقیم به نقش گسترده‌تر شبکه در پرداخت‌های نهادی و توکن‌سازی دارایی‌ها است، جایی که تحمل خرابی زیرساخت نزدیک به صفر است.

منابع

1. مقاله وبلاگ از ریپلتقویت امنیت دفتر کل XRP با هوش مصنوعی برای مرحله بعدی رشد

2. گزارش از Tech In Asiaریپل بررسی‌های امنیتی هوش مصنوعی را در سراسر توسعه دفتر کل XRP اضافه می‌کند

3. گزارش از کوین‌دسکریپل برای تست استرس دفتر کل XRP به عنوان مقیاس‌پذیری موارد استفاده سازمانی، به هوش مصنوعی روی می‌آورد