Ripple 正在徹底改革其保障 XRP Ledger 的方式,而 AI 正是這項努力的核心。
其工程團隊在本週稍早的一篇詳盡貼文中,概述了一項針對 XRP Ledger 的全新、由 AI 驅動的安全策略;該策略在整個協定的完整開發生命週期中整合機器學習工具。
該策略包括對每一個拉取請求(pull request)進行 AI 輔助的程式碼掃描、由威脅模型(threat models)引導的自動化對抗性測試,以及一支專門的 AI 輔助紅隊,持續分析程式碼庫,並在真實情境中評估功能之間的互動。
一支新成立的「紅隊」已經找出超過 10 個錯誤,目前已公開揭露的都是低嚴重性問題,其餘問題則正被列為優先處理並修復。該團隊使用模糊測試(fuzzing)與自動化對抗性測試,以規模化方式模擬攻擊者行為,讓漏洞的暴露比傳統稽核方法更早、覆蓋範圍也更廣。
「AI 讓我們能從被動的除錯,轉向主動且系統化地發現漏洞,讓分類帳(ledger)能比以往更快地強化,也更有信心。」Ripple 寫道。
此舉之際,XRPL 正承擔愈發龐雜的運作負載。分類帳自 2012 年起持續運行,處理超過 1 億筆(100 million)的分類帳,並促成超過 30 億筆(3 billion)交易。
像這樣年代久遠的程式碼庫,必然反映出「在網路較早期階段做出的設計決策、在較小規模下仍成立的假設,以及早於現代工具問世的既有模式」。AI 工具的目標,是系統性地找出在任何長期運行的生產系統中會逐步累積出來的邊界情況(edge cases)與隱藏失效模式(hidden failure modes)。
這項策略分為六大支柱(pillars)。除了 AI 輔助掃描與紅隊之外,Ripple 也正在現代化 XRPL 的程式碼庫本身,以解決結構性問題,例如型別安全性有限與功能之間互動模式不一致。
公司正擴大與 XRPL Commons、XRPL Foundation、獨立研究人員以及驗證器(validator)營運者之間的安全合作。協定修訂(protocol amendments)的標準正被提升:對於重大變更,現在需要多份獨立的安全審計;同時也擴大漏洞懸賞(bug bounties)並建立對抗性測試環境。
而下一版 XRPL 發布將完全專注於錯誤修復與改進,不新增任何新功能;這也傳達一個訊號:工程團隊正將這項強化(hardening)工作視為近期的優先事項。
時機也呼應 Ripple 不斷擴大的機構級影響力。
公司目前正在新加坡金融管理局(Monetary Authority of Singapore)的 BLOOM 計畫下進行試點,並在全球推廣 Ripple Payments、取得澳洲金融服務牌照,以及推動其 RLUSD 穩定幣(stablecoin)的採用。
一個針對代幣化真實世界資產(tokenized real-world assets)、由央行背書的貿易融資(central bank-backed trade finance)以及企業支付(enterprise payment flows)的分類帳,必須擁有能隨著應用場景擴展的安全基礎設施。
這種做法也連結到更廣泛的產業趨勢。Ethereum 本週推出了一個專門的後量子(post-quantum)安全中心,該中心由八年的研究支持,並由超過十個客戶端團隊每週交付的開發網路(devnets)支援。Google 設定了 2029 年的截止期限,將其驗證(authentication)服務遷移到抗量子(quantum-resistant)密碼學。無論是傳統科技還是加密領域,重點都正從被動修補(reactive patching)轉向主動、由 AI 增強的安全工程。
同時,Ripple 的工程團隊計劃在未來幾週內,與 XRPL Foundation 合作公布針對新修訂的安全標準(security criteria),並將調查結果以透明方式與社群分享。
相關文章
