Ripple ha implementato un team di test basato sull'intelligenza artificiale (IA Red Team) sul registro XRP: ecco cosa ha scoperto.

L'increspatura è integrazione intelligenza artificiale lungo l'intero ciclo di vita dello sviluppo Contabilità XRP (XRPL), tra cui la scansione automatizzata del codice, i test avversariali e un team rosso dedicato supportato dall'intelligenza artificiale. L'impegno sta già dando i suoi frutti: il team rosso ha identificato più di 10 bug, di cui quelli di minore gravità sono stati finora resi pubblici.

Perché Ripple sta rivedendo la sicurezza del registro XRP proprio ora?

Il registro XRP è in funzione ininterrottamente dal 2012In questo periodo, ha elaborato più di 100 milioni di voci di registro e facilitato oltre 3 miliardi di transazioni. Questo risultato è significativo, ma comporta anche una conseguenza pratica: un codice sorgente che riflette oltre un decennio di decisioni ingegneristiche, alcune delle quali precedenti ai moderni strumenti di sicurezza.

"Le decisioni di progettazione prese nelle fasi precedenti della rete, le ipotesi valide su scala ridotta e gli schemi che precedono gli strumenti moderni, nel loro insieme, plasmano il modo in cui il sistema funziona oggi", ha osservato Ripple in un recente post sul blog.

L'azienda collega la tempistica di questa revisione al ruolo sempre più importante di XRPL. La rete ora supporta pagamenti istituzionali, tokenizzazione di asset reali e progetti di infrastrutture finanziarie come l'iniziativa BLOOM della Monetary Authority of Singapore, un programma sostenuto dalla banca centrale che esplora la moneta e i pagamenti digitali. Con l'aumentare della complessità dei carichi di lavoro e della posta in gioco, Ripple sostiene che i vecchi approcci di test da soli non sono più sufficienti.

Il ruolo dell'IA nei moderni test di sicurezza

L'intelligenza artificiale non è una novità nel campo della sicurezza del software, ma la sua applicazione ai protocolli blockchain ha subito un'accelerazione. Gli strumenti di apprendimento automatico possono esplorare sistematicamente grandi basi di codice, individuare casi limite e simulare il comportamento degli aggressori su una scala irraggiungibile con una revisione manuale.

Un dato rilevante: durante un esperimento di due settimane, il modello Claude Opus 4.6 di Anthropic ha identificato 22 vulnerabilità nel browser Firefox, 14 delle quali classificate come estremamente gravi. Un risultato di questo tipo ha spinto gli sviluppatori blockchain di tutto il settore a prendere più seriamente la sicurezza assistita dall'intelligenza artificiale.

La posizione di Ripple è che gli attori malintenzionati stiano già utilizzando strumenti simili per individuare vulnerabilità, il che richiede una risposta simmetrica da parte degli sviluppatori.

Cosa include concretamente la strategia di sicurezza basata sull'intelligenza artificiale di Ripple?

La strategia si articola attorno a sei pilastri, che coprono ogni aspetto, dalla scrittura del codice all'approvazione delle modifiche per la rete in produzione.

I componenti tecnici principali sono:

• Analisi del codice assistita dall'intelligenza artificiale per ogni pull request (PR): Ogni modifica al codice proposta viene esaminata utilizzando strumenti di scansione avversariale prima di essere integrata, in modo da individuare i problemi nelle fasi iniziali del processo.
• Test di fuzzing e di attacco automatizzati: Ripple esegue il fuzzing, ovvero immette nel sistema input inattesi o malformati per osservarne la reazione, guidato da modelli di minaccia espliciti anziché da input casuali.
• Modellazione delle minacce e mappatura della superficie di attacco: Le funzionalità, sia nuove che esistenti, vengono analizzate in base a come interagiscono tra loro, non solo in base al loro comportamento isolato.
• Simulazione di casi limite: Gli strumenti di intelligenza artificiale generano scenari di stress che sarebbero impraticabili da costruire manualmente, soprattutto nei punti di giunzione tra codice più vecchio e funzionalità più recenti.

Il Red Team assistito dall'IA

Un red team nel campo della sicurezza informatica è un gruppo il cui compito è pensare e agire come un attaccante. Ripple ha creato un red team dedicato, supportato dall'intelligenza artificiale, focalizzato specificamente sul codice sorgente di XRPL. Il team esamina come le funzionalità interagiscono in condizioni reali, anziché testare ciascuna funzionalità singolarmente, operazione che tende a rendere più vulnerabili i sistemi a lungo termine.

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

Il team rosso ha già individuato più di 10 bug. Ripple afferma che tutti i problemi identificati vengono classificati in ordine di priorità e risolti, mentre le problematiche più significative vengono gestite attraverso processi di divulgazione coordinati.

In che modo Ripple sta affrontando i problemi strutturali del codice normativo?

Oltre ai test attivi, Ripple sta lavorando alla modernizzazione del codice sorgente stesso. Questo permette di affrontare una serie di problemi che i soli test non possono risolvere completamente.

Nei sistemi di lunga durata, i bug derivano spesso da problemi strutturali piuttosto che da errori isolati. Ripple ne ha identificati diversi nell'XRPL:

• Sicurezza dei tipi limitata, il che significa che il codice non impone sempre regole rigide sul tipo di dati che una funzione può accettare o restituire.
• Schemi di interazione incoerenti tra funzionalità aggiunte in momenti diversi nel corso della storia della rete.
• Applicazione insufficiente degli invarianti, in cui le ipotesi sul comportamento previsto del sistema non vengono verificate formalmente dal codice stesso.
• Presupposti non documentati o non applicati su cui gli sviluppatori fanno affidamento implicitamente, ma che il sistema non verifica.

Risolvere questi problemi rende il sistema più prevedibile e più facile da comprendere, riducendo la probabilità che si verifichino bug dovuti a interazioni impreviste.

Quali sono le modifiche apportate dagli emendamenti a XRPL?

Gli emendamenti sono il meccanismo attraverso il quale vengono attivate le modifiche a livello di protocollo sul registro XRP. Richiedono il consenso dei validatori prima di entrare in vigore.

Ripple sta alzando l'asticella per la valutazione delle modifiche prima della loro attivazione. In futuro, le modifiche significative al protocollo richiederanno molteplici audit di sicurezza indipendenti, programmi di bug bounty ampliati per incentivare i ricercatori esterni e test avversariali tramite attackathon, ovvero eventi strutturati in cui i partecipanti cercano attivamente di violare le nuove funzionalità prima del loro rilascio.

Ripple afferma che, in collaborazione con la XRPL Foundation, definirà e pubblicherà criteri espliciti di preparazione alla sicurezza, stabilendo soglie chiare per i test, la revisione e la valutazione del rischio che le modifiche dovranno soddisfare prima di essere abilitate sulla rete.

Cosa riserva il futuro per XRP Ledger?

Ripple ha confermato che la prossima release di XRPL sarà interamente dedicata alla correzione di bug e al miglioramento del codice, senza l'introduzione di nuove funzionalità. Ciò indica una pausa deliberata nello sviluppo di nuove funzionalità per concentrarsi sul lavoro di base.

L'azienda prevede inoltre di intensificare la collaborazione con partner esterni, tra cui XRPL Commons, la XRPL Foundation, ricercatori di sicurezza indipendenti, operatori di validatori e società di sicurezza esterne. Distribuire gli sforzi in materia di sicurezza tra diverse organizzazioni con prospettive differenti è una pratica standard nelle infrastrutture ad alto rischio, e Ripple la sta ora formalizzando per XRPL.

Le informazioni sulla sicurezza, i risultati pubblicati e le lezioni apprese saranno condivise apertamente con la comunità in generale, nell'ambito di un esplicito impegno alla trasparenza.

Conclusione

Ripple sta integrando l'intelligenza artificiale in ogni fase dello sviluppo di XRP Ledger, dalla revisione delle singole modifiche al codice alla simulazione avversaria su vasta scala della rete in tempo reale. 

Il team di test ha già individuato più di 10 bug, la prossima release di XRPL non conterrà nuove funzionalità e sono in fase di sviluppo, in collaborazione con la Fondazione XRPL, nuovi criteri di sicurezza per le modifiche. Questo sforzo rappresenta una risposta diretta al ruolo sempre più rilevante della rete nei pagamenti istituzionali e nella tokenizzazione degli asset, ambiti in cui la tolleranza per i guasti infrastrutturali è pressoché nulla.

Risorse

1. Articolo del blog di Ripple: Rafforzamento della sicurezza del registro XRP con l'intelligenza artificiale per la prossima fase di crescita

2. Rapporto di Tech In AsiaRipple introduce controlli di sicurezza basati sull'intelligenza artificiale nello sviluppo del registro XRP.

3. Segnalato da CoinDeskRipple si affida all'intelligenza artificiale per testare a fondo il registro XRP, in risposta alla crescente diffusione dei casi d'uso istituzionali.