Ripple ส่งทีม AI Red Team ไปทดสอบ XRP Ledger และนี่คือสิ่งที่ค้นพบ

ระลอกคลื่นคือ การบูรณาการ ปัญญาประดิษฐ์ตลอดวงจรการพัฒนาทั้งหมด บัญชีแยกประเภท XRP (XRPL)ซึ่งรวมถึงการสแกนโค้ดอัตโนมัติ การทดสอบแบบโจมตีภัยคุกคาม และทีมโจมตีพิเศษที่ใช้ AI ช่วย การดำเนินการดังกล่าวเริ่มเห็นผลแล้ว โดยทีมโจมตีได้ระบุข้อบกพร่องมากกว่า 10 รายการ และปัญหาที่มีความรุนแรงต่ำได้รับการเปิดเผยต่อสาธารณะแล้วในขณะนี้

เหตุใด Ripple จึงทำการปรับปรุงระบบรักษาความปลอดภัยของ XRP Ledger ในตอนนี้?

บัญชี XRP Ledger ได้ทำงานอย่างต่อเนื่องมาโดยตลอด ตั้งแต่ 2012ในช่วงเวลาดังกล่าว ระบบได้ประมวลผลรายการบัญชีมากกว่า 100 ล้านรายการ และอำนวยความสะดวกในการทำธุรกรรมกว่า 3 พันล้านรายการ ผลงานที่ผ่านมานั้นน่าทึ่ง แต่ก็มาพร้อมกับผลกระทบในทางปฏิบัติเช่นกัน นั่นคือ โค้ดเบสที่สะท้อนถึงการตัดสินใจด้านวิศวกรรมกว่าทศวรรษ ซึ่งบางส่วนเกิดขึ้นก่อนเครื่องมือรักษาความปลอดภัยสมัยใหม่

"การตัดสินใจด้านการออกแบบที่เกิดขึ้นในระยะแรก ๆ ของเครือข่าย สมมติฐานที่ใช้ได้ในระดับที่เล็กกว่า และรูปแบบที่เกิดขึ้นก่อนเครื่องมือสมัยใหม่ ล้วนมีส่วนกำหนดวิธีการทำงานของระบบในปัจจุบัน" Ripple กล่าวในบทความบล็อกล่าสุด

บริษัทเชื่อมโยงช่วงเวลาของการปรับปรุงครั้งนี้กับบทบาทที่ขยายตัวของ XRPL เครือข่ายในปัจจุบันรองรับการชำระเงินของสถาบัน การแปลงสินทรัพย์ในโลกแห่งความเป็นจริงให้เป็นโทเค็น และโครงการโครงสร้างพื้นฐานทางการเงิน เช่น โครงการ BLOOM ของธนาคารกลางสิงคโปร์ ซึ่งเป็นโครงการที่ได้รับการสนับสนุนจากธนาคารกลางเพื่อสำรวจเงินดิจิทัลและการชำระเงินดิจิทัล Ripple ให้เหตุผลว่าเมื่อปริมาณงานซับซ้อนมากขึ้นและความเสี่ยงสูงขึ้น วิธีการทดสอบแบบเดิม ๆ เพียงอย่างเดียวจึงไม่เพียงพออีกต่อไป

บทบาทของ AI ในการทดสอบความปลอดภัยสมัยใหม่

ปัญญาประดิษฐ์ (AI) ไม่ใช่เรื่องใหม่สำหรับความปลอดภัยของซอฟต์แวร์ แต่การนำไปประยุกต์ใช้กับโปรโตคอลบล็อกเชนนั้นก้าวหน้าอย่างรวดเร็ว เครื่องมือการเรียนรู้ของเครื่องสามารถสำรวจฐานรหัสขนาดใหญ่ ค้นหากรณีพิเศษ และจำลองพฤติกรรมของผู้โจมตีได้อย่างเป็นระบบในระดับที่การตรวจสอบด้วยตนเองไม่สามารถทำได้

ข้อมูลที่น่าสนใจอย่างหนึ่งคือ ในระหว่างการทดลองสองสัปดาห์ โมเดล Claude Opus 4.6 ของ Anthropic ระบุช่องโหว่ 22 จุดในเบราว์เซอร์ Firefox ซึ่ง 14 จุดถูกจัดอยู่ในระดับร้ายแรงมาก ผลลัพธ์เช่นนี้กระตุ้นให้นักพัฒนาบล็อกเชนทั่วทั้งอุตสาหกรรมหันมาให้ความสำคัญกับความปลอดภัยที่ใช้ AI มากขึ้น

Ripple มีมุมมองว่าผู้ไม่ประสงค์ดีกำลังใช้เครื่องมือที่คล้ายกันนี้ในการค้นหาช่องโหว่อยู่แล้ว ซึ่งจำเป็นต้องมีการตอบโต้ที่สมดุลจากฝั่งนักพัฒนา

กลยุทธ์ด้านความปลอดภัย AI ของ Ripple ประกอบด้วยอะไรบ้าง?

กลยุทธ์นี้สร้างขึ้นบนเสาหลักหกประการ ครอบคลุมทุกอย่างตั้งแต่การเขียนโค้ดไปจนถึงวิธีการอนุมัติการเปลี่ยนแปลงสำหรับเครือข่ายที่ใช้งานจริง

ส่วนประกอบทางเทคนิคหลักมีดังนี้:

• การสแกนโค้ดด้วย AI ในทุก Pull Request (PR): ทุกการเปลี่ยนแปลงโค้ดที่เสนอจะได้รับการตรวจสอบโดยใช้เครื่องมือสแกนแบบโจมตีเป้าหมายก่อนที่จะรวมเข้าด้วยกัน ซึ่งจะช่วยตรวจพบปัญหาได้ตั้งแต่เนิ่นๆ ในกระบวนการ
• การทดสอบแบบฟัซซิ่งอัตโนมัติและการทดสอบแบบแอดเวอร์ซารี: Ripple ใช้เทคนิคฟัซซิ่ง ซึ่งหมายถึงการป้อนข้อมูลที่ไม่คาดคิดหรือผิดรูปแบบเข้าไปในระบบเพื่อดูว่าระบบตอบสนองอย่างไร โดยอาศัยแบบจำลองภัยคุกคามที่ชัดเจนเป็นแนวทาง แทนที่จะใช้ข้อมูลแบบสุ่ม
• การสร้างแบบจำลองภัยคุกคามและการทำแผนที่พื้นผิวการโจมตี: มีการวิเคราะห์คุณสมบัติใหม่และคุณสมบัติที่มีอยู่แล้ว โดยพิจารณาถึงปฏิสัมพันธ์ระหว่างกัน ไม่ใช่แค่การทำงานแยกกันของแต่ละคุณสมบัติ
• การจำลองกรณีพิเศษ: เครื่องมือ AI สร้างสถานการณ์จำลองความเครียดซึ่งยากต่อการสร้างด้วยตนเอง โดยเฉพาะอย่างยิ่งในส่วนที่โค้ดเก่ามาบรรจบกับฟังก์ชันการทำงานใหม่

ทีมสีแดงที่ได้รับความช่วยเหลือจาก AI

ในด้านความปลอดภัย ทีมสีแดงคือกลุ่มที่มีหน้าที่คิดและลงมือทำเหมือนผู้โจมตี Ripple ได้จัดตั้งทีมสีแดงที่ใช้ AI ช่วยเหลือโดยเฉพาะ ซึ่งมุ่งเน้นไปที่โค้ดเบส XRPL โดยเฉพาะ ทีมนี้จะตรวจสอบว่าฟีเจอร์ต่างๆ ทำงานร่วมกันอย่างไรภายใต้สภาวะการใช้งานจริง แทนที่จะทดสอบแต่ละฟีเจอร์แยกกัน ซึ่งเป็นจุดที่ระบบที่มีอายุการใช้งานยาวนานมักจะเปราะบางที่สุด

ค้นพบโครงการอันน่าตื่นเต้น...

โครงการอันน่าสัญญา...

(โฆษณา)

บทความต่อ...

ทีมตรวจสอบภายใน (Red Team) พบข้อผิดพลาดแล้วมากกว่า 10 รายการ Ripple ระบุว่าปัญหาที่พบทั้งหมดกำลังได้รับการจัดลำดับความสำคัญและแก้ไข โดยปัญหาที่สำคัญกว่าจะได้รับการจัดการผ่านกระบวนการเปิดเผยข้อมูลที่ประสานงานกัน

Ripple แก้ไขปัญหาด้านโครงสร้างรหัสอย่างไร?

นอกเหนือจากการทดสอบเชิงรุกแล้ว Ripple ยังกำลังดำเนินการปรับปรุงโค้ดเบสพื้นฐานให้ทันสมัยยิ่งขึ้น ซึ่งเป็นการแก้ไขปัญหาประเภทหนึ่งที่การทดสอบเพียงอย่างเดียวไม่สามารถแก้ไขได้อย่างสมบูรณ์

ในระบบที่มีอายุการใช้งานยาวนาน บั๊กมักเกิดจากปัญหาเชิงโครงสร้างมากกว่าความผิดพลาดเฉพาะจุด Ripple ได้ระบุปัญหาเหล่านี้หลายประการใน XRPL:

• ความปลอดภัยของประเภทข้อมูลมีจำกัด หมายความว่าโค้ดไม่ได้บังคับใช้กฎที่เข้มงวดเสมอไปเกี่ยวกับประเภทของข้อมูลที่ฟังก์ชันสามารถรับหรือส่งคืนได้
• รูปแบบการโต้ตอบที่ไม่สอดคล้องกันระหว่างฟีเจอร์ต่างๆ ที่ถูกเพิ่มเข้ามาในช่วงเวลาที่แตกต่างกันตลอดประวัติของเครือข่าย
• การบังคับใช้ค่าคงที่ที่ไม่เพียงพอ ซึ่งหมายถึงสมมติฐานเกี่ยวกับวิธีการทำงานของระบบไม่ได้ถูกตรวจสอบอย่างเป็นทางการโดยตัวโค้ดเอง
• ข้อสมมติฐานที่ไม่ได้รับการบันทึกหรือบังคับใช้ ซึ่งนักพัฒนาซอฟต์แวร์อาศัยโดยปริยาย แต่ระบบไม่ได้ตรวจสอบ

การแก้ไขปัญหาเหล่านี้จะทำให้ระบบคาดเดาได้ง่ายขึ้นและเข้าใจได้ง่ายขึ้น ลดโอกาสที่จะเกิดข้อผิดพลาดจากปฏิสัมพันธ์ที่ไม่คาดคิด

มีการเปลี่ยนแปลงอะไรบ้างในข้อแก้ไขเพิ่มเติมของ XRPL?

การแก้ไขเพิ่มเติมเป็นกลไกที่ใช้ในการเปิดใช้งานการเปลี่ยนแปลงระดับโปรโตคอลบน XRP Ledger โดยต้องได้รับความเห็นชอบจากผู้ตรวจสอบความถูกต้องก่อนจึงจะมีผลบังคับใช้

Ripple กำลังยกระดับมาตรฐานวิธีการประเมินการแก้ไขก่อนการเปิดใช้งาน ในอนาคต การเปลี่ยนแปลงโปรโตคอลที่สำคัญจะต้องได้รับการตรวจสอบความปลอดภัยจากหน่วยงานอิสระหลายแห่ง ขยายโครงการให้รางวัลสำหรับการค้นหาช่องโหว่เพื่อจูงใจนักวิจัยภายนอก และการทดสอบเชิงรุกผ่านกิจกรรมโจมตี (attackathon) ซึ่งเป็นกิจกรรมที่มีโครงสร้างที่ผู้เข้าร่วมพยายามเจาะระบบฟีเจอร์ใหม่ ๆ ก่อนที่จะเปิดใช้งานจริง

Ripple กล่าวว่า บริษัทจะกำหนดและเผยแพร่เกณฑ์ความพร้อมด้านความปลอดภัยอย่างชัดเจน โดยร่วมมือกับมูลนิธิ XRPL เพื่อกำหนดเกณฑ์ที่ชัดเจนสำหรับการทดสอบ การตรวจสอบ และการประเมินความเสี่ยง ซึ่งการแก้ไขต่างๆ ต้องผ่านเกณฑ์เหล่านี้ก่อนที่จะเปิดใช้งานบนเครือข่าย

อะไรจะเกิดขึ้นต่อไปกับ XRP Ledger?

Ripple ยืนยันว่า XRPL เวอร์ชันถัดไปจะเน้นไปที่การแก้ไขข้อบกพร่องและการปรับปรุงโค้ดโดยเฉพาะ โดยไม่มีการเพิ่มฟีเจอร์ใหม่ใดๆ นี่เป็นการบ่งชี้ถึงการหยุดพัฒนาฟีเจอร์ชั่วคราวเพื่อมุ่งเน้นไปที่งานพื้นฐาน

บริษัทวางแผนที่จะกระชับความร่วมมือกับพันธมิตรภายนอกให้แน่นแฟ้นยิ่งขึ้น รวมถึง XRPL Commons, XRPL Foundation, นักวิจัยด้านความปลอดภัยอิสระ, ผู้ดำเนินการตรวจสอบความถูกต้อง และบริษัทรักษาความปลอดภัยภายนอก การกระจายความพยายามด้านความปลอดภัยไปยังหลายองค์กรที่มีมุมมองที่แตกต่างกันเป็นแนวปฏิบัติมาตรฐานในโครงสร้างพื้นฐานที่มีความเสี่ยงสูง และเป็นสิ่งที่ Ripple กำลังดำเนินการอย่างเป็นทางการสำหรับ XRPL ในขณะนี้

การเปิดเผยข้อมูลด้านความปลอดภัย ผลการค้นพบที่เผยแพร่ และบทเรียนที่ได้รับ จะถูกแบ่งปันอย่างเปิดเผยกับชุมชนในวงกว้าง ซึ่งเป็นส่วนหนึ่งของพันธสัญญาด้านความโปร่งใสอย่างชัดเจน

สรุป

Ripple กำลังผสานรวม AI เข้ากับทุกขั้นตอนของการพัฒนา XRP Ledger ตั้งแต่การตรวจสอบการเปลี่ยนแปลงโค้ดแต่ละรายการไปจนถึงการจำลองการโจมตีแบบเต็มรูปแบบบนเครือข่ายจริง 

ทีมตรวจสอบช่องโหว่ (red team) พบข้อบกพร่องมากกว่า 10 รายการแล้ว การเปิดตัว XRPL ครั้งต่อไปจะไม่มีฟีเจอร์ใหม่ และกำลังมีการพัฒนากฎเกณฑ์ด้านความปลอดภัยใหม่สำหรับการแก้ไขเพิ่มเติมร่วมกับมูลนิธิ XRPL ความพยายามนี้เป็นการตอบสนองโดยตรงต่อบทบาทที่ขยายตัวของเครือข่ายในการชำระเงินของสถาบันและการแปลงสินทรัพย์เป็นโทเค็น ซึ่งความทนทานต่อความล้มเหลวของโครงสร้างพื้นฐานนั้นแทบจะเป็นศูนย์

แหล่งข้อมูล

1. บทความในบล็อกโดย Rippleเสริมความแข็งแกร่งด้านความปลอดภัยของ XRP Ledger ด้วย AI เพื่อการเติบโตในระยะต่อไป

2. รายงานโดย Tech In AsiaRipple เพิ่มการตรวจสอบความปลอดภัยด้วย AI ในการพัฒนา XRP Ledger

3. รายงานโดย CoinDeskRipple หันมาใช้ AI เพื่อทดสอบความเสถียรของ XRP Ledger ขณะที่กรณีการใช้งานในระดับสถาบันขยายตัวขึ้น