Bezpecnostni audity
Nezavisla kontrola je standard.
AI je stala kontrolni vrstva.
Asylia zatim nema dokoncen externi lidsky audit. Dokud tuto latku nesplnime, kazda Bitcoin-kriticka zmena prochazi pravidelnym AI-assisted procesem pres GPT, Claude a Gemini a zustava otevrena pro lidskou kontrolu.
v0.1 · 2026-05-01 · 1. kvetna 2026
01 · Stav
Lidsky audit jeste nebyl dokoncen.
Je to bezpecnostni fakt, ne poznamka pod carou.
Asylia je v rane fazi a uprimny stav je jednoduchy: externi lidsky bezpecnostni tym jeste nedokoncil report na produkt. Slovo auditovane nebudeme pouzivat jako zkratku, dokud takova prace neexistuje, neprojde kontrolou a neda se verejne odkazat.
Aktualni kontrolou je staly AI-assisted review program zamereny na uzky Bitcoin povrch: descriptory, tvorbu scriptu, PSBT assembly, hardwarove signing adaptery, kontrolu podpisu a broadcast behavior. AI review system necertifikuje. Otevira otazky, hleda edge cases a vynucuje opakovatelne dukazy pred vydanim kodu.
AI review
Pravidelny
Spousten pri materialnich bezpecnostnich zmenach a release kandidatech.
Modelove quorum
3 rodiny
GPT, Claude a Gemini slouzi jako oddelene kontrolni pohledy.
02 · Metoda
Tri nezavisle modelove pruchody.
Cilem je adversarial pokryti, ne verdikt jednoho modelu.
Kazde kolo kontroly dava stejny ohraniceny scope aktualnimu top modelu z rodin GPT, Claude a Gemini. Zjisteni porovnavame podle prekryvu a neshody. Opakovana zjisteni se meni na engineering praci; zjisteni jednoho modelu se proveri, reprodukuji nebo uzavrou s poznamkou. Proces je nejsilnejsi tehdy, kdyz se modely neshodnou, protoze neshoda odhaluje predpoklady, ktere bezny checklist snadno mine.
- 01
Scope freeze
Definuje presny balik, routu, adapter nebo transakcni cestu pod kontrolou.
- 02
Model review
GPT, Claude a Gemini bezi nezavisle se stejnym threat modelem a kodovym kontextem.
- 03
Trideni
Zjisteni se skupinuji podle severity, reprodukovatelnosti, funds surface a dopadu na uzivatele.
- 04
Oprava
Potvrzene problemy se opravi, stabilni failure modes dostanou testy a residual risk se zapise.
03 · Pokryti
Aktualni AI review sestava.
Modelove rodiny jsou uvedene podle role, ne jako certifikacni autority.
| Modelova rodina | Role v kontrole | Aktualni fokus | Stav reportu | Kadence |
|---|---|---|---|---|
| GPT | Systemovy reviewer | Cross-file invarianty, data-flow predpoklady a chybejici negativni testy. | Pouze interni poznamky | Kazde auditni kolo |
| Claude | Adversarial reviewer | Mezery v threat modelu, nejednoznacne wallet policy handling a failure-mode reasoning. | Pouze interni poznamky | Kazde auditni kolo |
| Gemini | Breadth reviewer | Large-context porovnani adapteru, dokumentace, changelogu a produktovych tvrzeni. | Pouze interni poznamky | Kazde auditni kolo |
GPT
Systemovy reviewer
Cross-file invarianty, data-flow predpoklady a chybejici negativni testy.
Pouze interni poznamky
Claude
Adversarial reviewer
Mezery v threat modelu, nejednoznacne wallet policy handling a failure-mode reasoning.
Pouze interni poznamky
Gemini
Breadth reviewer
Large-context porovnani adapteru, dokumentace, changelogu a produktovych tvrzeni.
Pouze interni poznamky
04 · Scope
Prvni auditni hranice je Bitcoin-kriticka.
Produktovy chrome muze pockat. Funds-facing primitiva ne.
Zamysleny prvni externi auditni scope je kod, ktery muze ovlivnit korektnost walletu, podpisovy zamer, recovery nebo broadcast safety.
- btc-core: descriptor parsing, derivace adres, PSBT assembly, finalizace a kontroly podpisu.
- blockchain-data-btc: chain cteni, interpretace UTXO, fee vstupy a broadcast hranice.
- hw-trezor a hw-ledger: export public rootu, registrace politiky, podpisovani na zarizeni a zpracovani vracenych podpisu.
- shared-types: domenove kontrakty, ktere drzi wallet policy, signer metadata a stav transakci konzistentne napric aplikacemi.
05 · Limity
AI review nenahrazuje lidskou odpovednost.
Je uzitecny prave proto, ze jeho limity jsou explicitni.
AI-assisted review umi rychle rozsirit pokryti, ale nenahrazuje kvalifikovany lidsky audit, live exploit validaci, review vendor firmwaru ani formal assurance. Zjisteni bereme jako leads, dokud nejsou reprodukovana v kodu, pokryta testy nebo uzavrena s konkretnim duvodem.
- Zadny AI model nemuze certifikovat, ze funds jsou bezpecne.
- Zadny modelovy vystup neni prijat bez engineering review.
- Zadne nevyresene kriticke zjisteni neni skryte za marketingovym jazykem.
06 · Publikovani
Reporty odkazeme, az budou realne.
Bezpecnostni tvrzeni maji byt kontrolovatelna ctenari, ne jen naznacena tonem.
Jakmile bude externi lidsky audit zadan a dokoncen, tato stranka odkaze report, scope, commit range, potvrzena zjisteni, opravy a jakykoli akceptovany residual risk. Do te doby Asylia popisuje aktualni proces presne: pravidelny AI-assisted review, otevrena Bitcoin primitiva a responsible disclosure.
Chcete zkontrolovat povrch sami?
Zacnete uzkou politikou a MIT-licencovanymi baliky. Cim mensi wallet surface zustava, tim snaz ho dokazou externi revieweri zpochybnit.