Ripple setzt KI-gestütztes Red Team auf dem XRP Ledger ein – hier sind die Ergebnisse.

Welligkeit ist Integration künstliche Intelligenz über den gesamten Entwicklungslebenszyklus hinweg XRP-Ledger (XRPL)Dazu gehören automatisierte Code-Scans, Adversarial Testing und ein spezialisiertes KI-gestütztes Red Team. Die Bemühungen zeigen bereits Wirkung: Das Red Team hat mehr als zehn Fehler identifiziert, wobei bisher nur weniger schwerwiegende Probleme öffentlich gemeldet wurden.

Warum überarbeitet Ripple jetzt die Sicherheit des XRP Ledgers?

Das XRP Ledger läuft ununterbrochen. seit 2012In dieser Zeit wurden über 100 Millionen Buchungseinträge verarbeitet und mehr als 3 Milliarden Transaktionen abgewickelt. Diese Erfolgsbilanz ist beachtlich, hat aber auch eine praktische Konsequenz: eine Codebasis, die mehr als ein Jahrzehnt an technischen Entscheidungen widerspiegelt, von denen einige vor der Entwicklung moderner Sicherheitswerkzeuge getroffen wurden.

„Designentscheidungen, die in früheren Phasen des Netzwerks getroffen wurden, Annahmen, die in kleinerem Maßstab galten, und Muster, die vor der Entwicklung moderner Werkzeuge entstanden sind, prägen gemeinsam die Funktionsweise des Systems heute“, stellte Ripple in einem kürzlich erschienenen Blogbeitrag fest.

Das Unternehmen begründet den Zeitpunkt dieser Überarbeitung mit der wachsenden Bedeutung des XRPL-Netzwerks. Dieses unterstützt mittlerweile institutionelle Zahlungen, die Tokenisierung realer Vermögenswerte und Finanzinfrastrukturprojekte wie die BLOOM-Initiative der Monetary Authority of Singapore, ein von der Zentralbank gefördertes Programm zur Erforschung von digitalem Geld und Zahlungsverkehr. Angesichts der zunehmenden Komplexität der Arbeitslasten und der steigenden Risiken argumentiert Ripple, dass ältere Testansätze allein nicht mehr ausreichen.

Die Rolle der KI bei modernen Sicherheitstests

Künstliche Intelligenz ist in der Software-Sicherheit nicht neu, ihre Anwendung auf Blockchain-Protokolle hat sich jedoch beschleunigt. Werkzeuge für maschinelles Lernen können große Codebasen systematisch untersuchen, Grenzfälle aufdecken und das Verhalten von Angreifern in einem Umfang simulieren, der mit manuellen Überprüfungen nicht zu erreichen ist.

Ein relevanter Datenpunkt: In einem zweiwöchigen Experiment identifizierte das Claude Opus 4.6-Modell von Anthropic 22 Schwachstellen im Firefox-Browser, von denen 14 als besonders schwerwiegend eingestuft wurden. Solche Ergebnisse haben Blockchain-Entwickler branchenweit dazu veranlasst, KI-gestützte Sicherheit ernster zu nehmen.

Ripple vertritt die Auffassung, dass böswillige Akteure bereits ähnliche Werkzeuge verwenden, um Schwachstellen zu finden, was eine symmetrische Reaktion vonseiten der Entwickler erfordert.

Was genau umfasst Ripples KI-Sicherheitsstrategie?

Die Strategie basiert auf sechs Säulen und umfasst alles von der Art und Weise, wie Code geschrieben wird, bis hin zur Genehmigung von Änderungen für das Live-Netzwerk.

Die wichtigsten technischen Komponenten sind:

• KI-gestützte Code-Analyse bei jedem Pull Request (PR): Jeder vorgeschlagene Codeänderungsvorschlag wird vor der Zusammenführung mithilfe von Adversarial Scanning Tools überprüft, um Probleme frühzeitig im Prozess zu erkennen.
• Automatisiertes Fuzzing und Adversarial Testing: Ripple führt Fuzzing durch, d. h. es werden dem System unerwartete oder fehlerhafte Eingaben zugeführt, um zu sehen, wie es reagiert, wobei explizite Bedrohungsmodelle anstelle von zufälligen Eingaben verwendet werden.
• Bedrohungsmodellierung und Kartierung der Angriffsfläche: Neue und bestehende Funktionen werden dahingehend analysiert, wie sie miteinander interagieren, und nicht nur hinsichtlich ihres Verhaltens in Isolation.
• Simulation von Grenzfällen: Mithilfe von KI-Tools werden Stressszenarien generiert, deren manuelle Erstellung unpraktisch wäre, insbesondere an den Schnittstellen zwischen älterem Code und neuerer Funktionalität.

Das KI-gestützte rote Team

Ein Red Team im Bereich IT-Sicherheit ist eine Gruppe, deren Aufgabe es ist, wie ein Angreifer zu denken und zu handeln. Ripple hat ein spezialisiertes, KI-gestütztes Red Team eingerichtet, das sich gezielt mit der XRPL-Quellcodebasis befasst. Das Team untersucht, wie Funktionen unter realen Bedingungen interagieren, anstatt jede Funktion isoliert zu testen. Gerade bei langlebigen Systemen sind solche Tests oft am anfälligsten.

Entdecken Sie vielversprechende Projekte...

Vielversprechende Projekte...

(Werbung)

Artikel wird fortgesetzt...

Das Red Team hat bereits mehr als zehn Fehler gefunden. Ripple gibt an, dass alle identifizierten Probleme priorisiert und behoben werden, wobei schwerwiegendere Funde über koordinierte Offenlegungsprozesse behandelt werden.

Wie geht Ripple mit Problemen im Bereich der Bauvorschriften um?

Neben aktiven Tests arbeitet Ripple an der Modernisierung der zugrundeliegenden Codebasis. Dies adressiert eine Kategorie von Problemen, die durch Tests allein nicht vollständig gelöst werden können.

In langlebigen Systemen entstehen Fehler häufig durch strukturelle Probleme und nicht durch einzelne Fehler. Ripple hat mehrere solcher Probleme in der XRPL identifiziert:

• Begrenzte Typsicherheit bedeutet, dass der Code nicht immer strenge Regeln darüber durchsetzt, welche Art von Daten eine Funktion akzeptieren oder zurückgeben kann.
• Inkonsistente Interaktionsmuster zwischen Funktionen, die im Laufe der Netzwerkgeschichte zu unterschiedlichen Zeitpunkten hinzugefügt wurden.
• Unzureichende Durchsetzung von Invarianten, da Annahmen über das Verhalten des Systems nicht formal vom Code selbst überprüft werden.
• Nicht dokumentierte oder nicht durchgesetzte Annahmen, auf die sich Entwickler implizit verlassen, die das System aber nicht überprüft.

Durch die Behebung dieser Probleme wird das System vorhersehbarer und leichter nachvollziehbar, wodurch die Wahrscheinlichkeit von Fehlern aufgrund unerwarteter Wechselwirkungen verringert wird.

Welche Änderungen ergeben sich durch die XRPL-Änderungen?

Änderungen sind der Mechanismus, durch den Änderungen auf Protokollebene im XRP Ledger aktiviert werden. Sie erfordern die Zustimmung aller Validatoren, bevor sie in Kraft treten.

Ripple setzt höhere Maßstäbe für die Bewertung von Änderungen vor deren Aktivierung. Zukünftig erfordern bedeutende Protokolländerungen mehrere unabhängige Sicherheitsaudits, erweiterte Bug-Bounty-Programme zur Anreizsetzung für externe Forscher sowie Adversarial Testing in Form von Attackathons. Dabei handelt es sich um strukturierte Veranstaltungen, bei denen die Teilnehmer aktiv versuchen, neue Funktionen vor deren Veröffentlichung zu kompromittieren.

Ripple kündigt an, in Zusammenarbeit mit der XRPL Foundation explizite Sicherheitsbereitschaftskriterien zu definieren und zu veröffentlichen. Dabei sollen klare Schwellenwerte für Tests, Überprüfungen und Risikobewertungen festgelegt werden, die Änderungen erfüllen müssen, bevor sie im Netzwerk aktiviert werden können.

Was kommt als Nächstes für das XRP-Ledger?

Ripple bestätigte, dass die nächste XRPL-Version ausschließlich Fehlerbehebungen und Codeverbesserungen gewidmet sein wird und keine neuen Funktionen enthalten wird. Dies signalisiert eine bewusste Pause in der Funktionsentwicklung, um sich auf die Grundlagenarbeit zu konzentrieren.

Das Unternehmen plant außerdem, die Zusammenarbeit mit externen Partnern wie XRPL Commons, der XRPL Foundation, unabhängigen Sicherheitsforschern, Validator-Betreibern und externen Sicherheitsfirmen zu intensivieren. Die Verteilung der Sicherheitsbemühungen auf mehrere Organisationen mit unterschiedlichen Perspektiven ist in kritischen Infrastrukturen gängige Praxis und wird von Ripple nun für die XRPL formalisiert.

Sicherheitsmitteilungen, veröffentlichte Ergebnisse und daraus gewonnene Erkenntnisse werden im Rahmen einer ausdrücklichen Verpflichtung zu Transparenz offen mit der breiteren Öffentlichkeit geteilt.

Fazit

Ripple integriert KI in jede Phase der XRP Ledger-Entwicklung, von der Überprüfung einzelner Codeänderungen bis hin zur umfassenden Simulation von Angriffen auf das Live-Netzwerk. 

Das Red Team hat bereits über zehn Fehler gefunden, die nächste XRPL-Version wird keine neuen Funktionen enthalten, und gemeinsam mit der XRPL Foundation werden neue Sicherheitskriterien für Änderungen entwickelt. Diese Maßnahmen sind eine direkte Reaktion auf die erweiterte Rolle des Netzwerks im Bereich institutioneller Zahlungen und der Tokenisierung von Vermögenswerten, wo die Toleranz für Infrastrukturausfälle nahezu null beträgt.

Ressourcen

1. Blogartikel von RippleStärkung der XRP-Ledger-Sicherheit durch KI für die nächste Wachstumsphase

2. Bericht von Tech In AsiaRipple führt KI-Sicherheitsprüfungen in der XRP Ledger-Entwicklung ein

3. Bericht von CoinDeskRipple setzt auf KI, um das XRP Ledger im Zuge der zunehmenden institutionellen Anwendungsfälle einem Stresstest zu unterziehen.