リップル社がXRPレジャーにAIレッドチームを投入、その結果は以下の通り

リップルは 統合する 人工知能は、 XRP元帳（XRPL）これには、自動コードスキャン、敵対的テスト、AI支援型レッドチームなどが含まれる。この取り組みは既に成果を上げており、レッドチームは10件以上のバグを特定し、これまでに軽微な問題が公表されている。

なぜリップルは今、XRP Ledgerのセキュリティを刷新しようとしているのか？

XRP Ledgerは継続的に稼働しています 2012からその間、1億件以上の台帳エントリを処理し、30億件以上の取引を処理してきました。この実績は素晴らしいものですが、同時に実務上の問題も伴います。それは、10年以上にわたるエンジニアリング上の決定を反映したコードベースであり、その中には現代のセキュリティツールが登場する以前のものも含まれているということです。

「ネットワークの初期段階で行われた設計上の決定、小規模な環境では有効だった前提、そして現代のツールが登場する以前から存在していたパターンが、今日のシステムの動作方法を形作っている」と、リップルは最近のブログ記事で述べている。

同社はこの刷新のタイミングを、XRPLの役割拡大と関連付けている。現在、このネットワークは機関投資家向け決済、実物資産のトークン化、そしてシンガポール金融管理局のBLOOMイニシアチブ（中央銀行が支援するデジタル通貨と決済の研究開発プログラム）などの金融インフラプロジェクトをサポートしている。ワークロードが複雑化し、リスクが高まるにつれ、リップル社は従来のテスト手法だけではもはや不十分だと主張している。

現代のセキュリティテストにおけるAIの役割

AIはソフトウェアセキュリティの分野では目新しいものではありませんが、ブロックチェーンプロトコルへの応用は急速に進んでいます。機械学習ツールは、大規模なコードベースを体系的に探索し、エッジケースを明らかにし、手動レビューでは到底及ばない規模で攻撃者の行動をシミュレートすることができます。

関連するデータとして、Anthropic社のClaude Opus 4.6モデルは、2週間の実験期間中にFirefoxブラウザに22件の脆弱性を発見し、そのうち14件は深刻度が高いと分類されました。こうした結果を受け、ブロックチェーン業界全体の開発者は、AIを活用したセキュリティ対策をより真剣に検討するようになっています。

リップル社の見解は、悪意のある攻撃者は既に同様のツールを使って脆弱性を発見しており、開発側からも同様の対応が必要だというものだ。

リップルのAIセキュリティ戦略には具体的に何が含まれているのか？

この戦略は6つの柱に基づいて構築されており、コードの記述方法から、稼働中のネットワークに対する変更の承認方法まで、あらゆる側面を網羅している。

主要な技術構成要素は以下のとおりです。

• すべてのプルリクエスト（PR）に対するAI支援によるコードスキャン： 提案されたコード変更はすべて、マージされる前に敵対的スキャンツールを使用してレビューされ、プロセスの早い段階で問題点が発見されます。
• 自動ファジングおよび敵対的テスト： Rippleはファジングを実行します。これは、ランダムな入力ではなく、明確な脅威モデルに基づいて、予期しない入力や不正な形式の入力をシステムに与え、システムがどのように反応するかを確認することを意味します。
• 脅威モデリングと攻撃対象領域のマッピング： 新規機能と既存機能は、それぞれが単独でどのように動作するかだけでなく、互いにどのように相互作用するかという観点からも分析されます。
• エッジケースのシミュレーション： AIツールは、特に古いコードと新しい機能が接する境界部分において、手動で構築するには非現実的なストレスシナリオを生成する。

AI支援型レッドチーム

セキュリティにおけるレッドチームとは、攻撃者のように考え、行動することを任務とするグループのことです。Rippleは、XRPLコードベースに特化した、AIを活用した専用のレッドチームを設立しました。このチームは、各機能を個別にテストするのではなく、実際の環境下で各機能がどのように相互作用するかを検証します。これは、長期にわたって運用されるシステムが最も脆弱になりがちな点です。

有望なプロジェクトを発見...

有望なプロジェクト...

（広告）

記事は続きます…

レッドチームは既に10件以上のバグを発見している。リップル社によると、特定された問題はすべて優先的に修正されており、より重大な発見については、調整された情報開示プロセスを通じて対処されるとのことだ。

リップルは構造コードの問題点にどのように対処しているのか？

Rippleは、積極的なテストに加えて、基盤となるコードベース自体の近代化にも取り組んでいます。これは、テストだけでは完全には解決できない種類の問題に対処するものです。

長期間運用されているシステムでは、バグは個々のミスではなく、構造的な問題に起因することが多い。RippleはXRPLにおいて、こうした問題のいくつかを特定している。

• 限定的な型安全性とは、関数が受け入れるデータや返すデータの種類について、コードが常に厳密な規則を適用するとは限らないことを意味します。
• ネットワークの履歴の中で異なる時点で追加された機能間の相互作用パターンに一貫性がない。
• 不変条件の適用が不十分であり、システムがどのように動作すべきかに関する仮定が、コード自体によって正式に検証されていない。
• 開発者が暗黙のうちに依存しているものの、システムが検証しない、文書化されていない、あるいは強制されていない前提条件。

これらの問題を修正することで、システムはより予測しやすくなり、理解しやすくなるため、予期せぬ相互作用からバグが発生する可能性が低くなります。

XRPL改正案ではどのような変更がありますか？

修正とは、XRP Ledger上でプロトコルレベルの変更を有効化するための仕組みです。修正が有効になるには、バリデーターの合意が必要です。

リップルは、プロトコルの改正案が有効化される前に評価される方法の基準を引き上げています。今後、重要なプロトコル変更には、複数の独立したセキュリティ監査、外部研究者を奨励するためのバグ報奨金プログラムの拡充、そして参加者が新機能の正式リリース前に積極的に脆弱性を悪用しようとする構造化されたイベントであるアタックソンを通じた敵対的テストが義務付けられます。

リップル社は、XRPL財団と協力して明確なセキュリティ準備基準を策定・公開し、ネットワーク上で有効化される前に修正案が満たさなければならない、テスト、レビュー、リスク評価に関する明確な基準を設定すると述べている。

XRP Ledgerの今後はどうなるのか？

Ripple社は、次回のXRPLリリースはバグ修正とコード改善のみに特化し、新機能は一切含まれないことを確認した。これは、基盤構築に注力するため、機能開発を意図的に一時停止することを意味する。

同社はまた、XRPL Commons、XRPL Foundation、独立系セキュリティ研究者、バリデーター事業者、外部セキュリティ企業などの外部パートナーとの連携を強化する計画だ。セキュリティ対策を異なる視点を持つ複数の組織に分散させることは、リスクの高いインフラストラクチャでは標準的な手法であり、RippleはXRPLにおいてこれを正式に導入しようとしている。

セキュリティに関する情報開示、公表された調査結果、および得られた教訓は、明確な透明性への取り組みの一環として、より広範なコミュニティとオープンに共有されます。

結論

リップル社は、個々のコード変更のレビューから、実際のネットワークにおける本格的な敵対的シミュレーションに至るまで、XRP Ledgerの開発のあらゆる段階にAIを組み込んでいる。 

レッドチームは既に10件以上のバグを発見しており、次回のXRPLリリースには新機能は含まれず、XRPL財団と共同で改訂のための新たなセキュリティ基準が策定されている。この取り組みは、インフラ障害に対する許容度がほぼゼロに近い、機関投資家向け決済や資産トークン化におけるネットワークの役割拡大への直接的な対応である。

資料

1. Rippleによるブログ記事AIを活用してXRP Ledgerのセキュリティを強化し、次の成長段階へ

2. Tech In Asiaによるレポートリップル社、XRP Ledgerの開発全体にAIセキュリティチェックを追加

3. CoinDeskによるレポート: 機関投資家の利用事例が拡大する中、リップル社はXRP LedgerのストレステストにAIを活用する