Ripple triển khai đội ngũ chuyên gia AI tấn công sổ cái XRP, và đây là những gì họ đã tìm thấy.

Ripple là tích hợp ứng dụng trí tuệ nhân tạo trong toàn bộ vòng đời phát triển của sản phẩm. Sổ cái XRP (XRPL)Bao gồm quét mã tự động, kiểm thử đối kháng và một nhóm tấn công giả lập (red team) chuyên dụng được hỗ trợ bởi trí tuệ nhân tạo. Nỗ lực này đã bắt đầu mang lại kết quả: nhóm tấn công giả lập đã xác định được hơn 10 lỗi, với các vấn đề có mức độ nghiêm trọng thấp hơn đã được công khai cho đến nay.

Tại sao Ripple lại tiến hành cải tiến bảo mật sổ cái XRP vào thời điểm này?

Sổ cái XRP đã hoạt động liên tục. kể từ 2012Trong khoảng thời gian đó, hệ thống đã xử lý hơn 100 triệu mục nhập sổ cái và thực hiện hơn 3 tỷ giao dịch. Thành tích này rất ấn tượng, nhưng nó cũng đi kèm với một hệ quả thực tế: mã nguồn phản ánh hơn một thập kỷ các quyết định kỹ thuật, một số trong đó được đưa ra trước khi các công cụ bảo mật hiện đại ra đời.

Ripple lưu ý trong một bài đăng trên blog gần đây: "Các quyết định thiết kế được đưa ra trong các giai đoạn đầu của mạng lưới, các giả định được áp dụng ở quy mô nhỏ hơn và các mô hình có từ trước khi các công cụ hiện đại ra đời đã cùng nhau định hình cách hệ thống hoạt động ngày nay."

Công ty cho rằng thời điểm thực hiện cuộc đại tu này trùng khớp với vai trò ngày càng mở rộng của XRPL. Mạng lưới hiện hỗ trợ thanh toán cho các tổ chức, mã hóa tài sản thực tế và các dự án cơ sở hạ tầng tài chính như sáng kiến ​​BLOOM của Cơ quan Tiền tệ Singapore (MAS), một chương trình do ngân hàng trung ương hậu thuẫn nhằm nghiên cứu tiền kỹ thuật số và thanh toán. Khi khối lượng công việc trở nên phức tạp hơn và rủi ro cao hơn, Ripple lập luận rằng các phương pháp thử nghiệm cũ không còn đủ nữa.

Vai trò của AI trong kiểm thử bảo mật hiện đại

Trí tuệ nhân tạo (AI) không phải là điều mới mẻ đối với bảo mật phần mềm, nhưng việc ứng dụng nó vào các giao thức blockchain đã được đẩy mạnh. Các công cụ học máy có thể khám phá một cách có hệ thống các cơ sở mã lớn, phát hiện các trường hợp ngoại lệ và mô phỏng hành vi của kẻ tấn công ở quy mô mà việc xem xét thủ công không thể sánh kịp.

Một điểm dữ liệu đáng chú ý: trong một thử nghiệm kéo dài hai tuần, mô hình Claude Opus 4.6 của Anthropic đã xác định được 22 lỗ hổng trong trình duyệt Firefox, trong đó 14 lỗ hổng được xếp loại là rất nghiêm trọng. Kết quả như vậy đã thúc đẩy các nhà phát triển blockchain trong toàn ngành chú trọng hơn đến bảo mật được hỗ trợ bởi trí tuệ nhân tạo.

Quan điểm của Ripple là các tác nhân xấu đã và đang sử dụng các công cụ tương tự để tìm kiếm lỗ hổng, điều này đòi hỏi phía nhà phát triển phải có phản ứng tương xứng.

Chiến lược bảo mật AI của Ripple thực chất bao gồm những gì?

Chiến lược này được xây dựng dựa trên sáu trụ cột, bao gồm mọi thứ từ cách viết mã đến cách phê duyệt các thay đổi cho mạng lưới hoạt động thực tế.

Các thành phần kỹ thuật cốt lõi bao gồm:

• Quét mã bằng trí tuệ nhân tạo trên mọi yêu cầu kéo (pull request - PR): Mọi đề xuất thay đổi mã đều được xem xét bằng các công cụ quét đối kháng trước khi được hợp nhất, giúp phát hiện các vấn đề sớm hơn trong quá trình này.
• Kiểm thử mờ tự động và kiểm thử đối kháng: Ripple sử dụng kỹ thuật fuzzing, nghĩa là đưa các dữ liệu đầu vào không mong muốn hoặc bị lỗi vào hệ thống để xem phản ứng của nó, dựa trên các mô hình mối đe dọa cụ thể chứ không phải dữ liệu đầu vào ngẫu nhiên.
• Mô hình hóa mối đe dọa và lập bản đồ bề mặt tấn công: Các tính năng mới và hiện có được phân tích dựa trên cách chúng tương tác với nhau, chứ không chỉ dựa trên cách chúng hoạt động riêng lẻ.
• Mô phỏng trường hợp ngoại lệ: Các công cụ AI tạo ra các kịch bản gây áp lực mà việc xây dựng thủ công sẽ không khả thi, đặc biệt là tại ranh giới giữa mã nguồn cũ và chức năng mới.

Đội Đỏ Hỗ Trợ Trí Tuệ

Trong lĩnh vực bảo mật, "red team" là một nhóm có nhiệm vụ suy nghĩ và hành động như một kẻ tấn công. Ripple đã thành lập một nhóm "red team" chuyên dụng được hỗ trợ bởi trí tuệ nhân tạo, tập trung cụ thể vào mã nguồn XRPL. Nhóm này xem xét cách các tính năng tương tác trong điều kiện thực tế thay vì kiểm tra từng tính năng riêng lẻ, vì đó là điểm yếu dễ bị tổn thương nhất của các hệ thống có tuổi thọ cao.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

(Quảng cáo)

Bài viết còn tiếp tục...

Nhóm tấn công (red team) đã phát hiện hơn 10 lỗi. Ripple cho biết tất cả các vấn đề đã được xác định đang được ưu tiên khắc phục, và những phát hiện nghiêm trọng hơn sẽ được xử lý thông qua các quy trình công bố phối hợp.

Ripple giải quyết các vấn đề về cấu trúc mã như thế nào?

Bên cạnh việc thử nghiệm tích cực, Ripple đang nỗ lực hiện đại hóa mã nguồn nền tảng. Điều này giải quyết một nhóm vấn đề mà chỉ thử nghiệm thôi không thể giải quyết triệt để.

Trong các hệ thống có tuổi thọ cao, lỗi thường bắt nguồn từ các vấn đề cấu trúc hơn là những sai sót riêng lẻ. Ripple đã xác định được một số vấn đề này trong XRPL:

• Độ an toàn kiểu dữ liệu hạn chế, nghĩa là mã không phải lúc nào cũng tuân thủ các quy tắc nghiêm ngặt về loại dữ liệu mà một hàm có thể chấp nhận hoặc trả về.
• Các mô hình tương tác không nhất quán giữa các tính năng được thêm vào ở các thời điểm khác nhau trong suốt lịch sử của mạng lưới.
• Việc thực thi tính bất biến chưa đầy đủ, trong đó các giả định về cách hệ thống nên hoạt động không được kiểm tra chính thức bởi chính mã nguồn.
• Những giả định không được ghi chép hoặc không được thực thi mà các nhà phát triển ngầm dựa vào nhưng hệ thống không kiểm chứng.

Khắc phục những vấn đề này giúp hệ thống trở nên dễ dự đoán và dễ hiểu hơn, giảm khả năng phát sinh lỗi do tương tác không mong muốn.

Những thay đổi nào sẽ được áp dụng đối với các sửa đổi XRPL?

Các sửa đổi là cơ chế thông qua đó các thay đổi ở cấp độ giao thức được kích hoạt trên Sổ cái XRP. Chúng yêu cầu sự đồng thuận của người xác thực trước khi có hiệu lực.

Ripple đang nâng cao tiêu chuẩn đánh giá các bản sửa đổi trước khi kích hoạt. Trong tương lai, những thay đổi quan trọng về giao thức sẽ yêu cầu nhiều cuộc kiểm toán bảo mật độc lập, các chương trình thưởng tìm lỗi được mở rộng để khuyến khích các nhà nghiên cứu bên ngoài và thử nghiệm đối kháng thông qua các cuộc thi tấn công (attackathon), là các sự kiện có cấu trúc mà người tham gia chủ động cố gắng tìm ra lỗi trong các tính năng mới trước khi chúng được đưa vào sử dụng chính thức.

Ripple cho biết họ sẽ định nghĩa và công bố các tiêu chí sẵn sàng về bảo mật rõ ràng, hợp tác với Quỹ XRPL, thiết lập các ngưỡng rõ ràng cho việc thử nghiệm, xem xét và đánh giá rủi ro mà các bản sửa đổi phải đáp ứng trước khi được kích hoạt trên mạng.

Điều gì sẽ xảy ra tiếp theo với sổ cái XRP?

Ripple xác nhận rằng bản phát hành XRPL tiếp theo sẽ chỉ tập trung vào sửa lỗi và cải tiến mã nguồn, không bao gồm bất kỳ tính năng mới nào. Điều này báo hiệu việc tạm dừng phát triển tính năng để tập trung vào công việc nền tảng.

Công ty cũng có kế hoạch tăng cường hợp tác với các đối tác bên ngoài, bao gồm XRPL Commons, XRPL Foundation, các nhà nghiên cứu bảo mật độc lập, các nhà điều hành trình xác thực và các công ty bảo mật bên ngoài. Phân bổ nỗ lực bảo mật cho nhiều tổ chức với các quan điểm khác nhau là một thông lệ tiêu chuẩn trong cơ sở hạ tầng có rủi ro cao, và Ripple hiện đang chính thức hóa điều này cho XRPL.

Các thông tin tiết lộ về bảo mật, kết quả nghiên cứu đã công bố và bài học kinh nghiệm sẽ được chia sẻ công khai với cộng đồng rộng lớn hơn như một phần của cam kết minh bạch rõ ràng.

Kết luận

Ripple đang tích hợp trí tuệ nhân tạo (AI) vào mọi giai đoạn phát triển của XRP Ledger, từ việc xem xét các thay đổi mã nguồn riêng lẻ đến mô phỏng tấn công quy mô lớn trên mạng lưới đang hoạt động. 

Nhóm tấn công (red team) đã tìm thấy hơn 10 lỗi, bản phát hành XRPL tiếp theo sẽ không có tính năng mới nào và các tiêu chí bảo mật mới cho việc sửa đổi đang được phát triển cùng với Quỹ XRPL. Nỗ lực này là phản ứng trực tiếp trước vai trò mở rộng của mạng lưới trong thanh toán tổ chức và mã hóa tài sản, nơi mà khả năng chịu đựng đối với sự cố cơ sở hạ tầng gần như bằng không.

Trung Tâm Tài Liệu

1. Bài viết trên blog của RippleTăng cường bảo mật sổ cái XRP bằng trí tuệ nhân tạo cho giai đoạn tăng trưởng tiếp theo

2. Báo cáo của Tech In AsiaRipple bổ sung các bước kiểm tra bảo mật bằng trí tuệ nhân tạo trong toàn bộ quá trình phát triển XRP Ledger.

3. Báo cáo bởi CoinDeskRipple chuyển sang sử dụng trí tuệ nhân tạo để kiểm tra độ bền của XRP Ledger khi các trường hợp sử dụng từ các tổ chức ngày càng mở rộng.