Bezpecnostne audity
Nezavisla kontrola je standard.
AI je stala kontrolna vrstva.
Asylia zatial nema dokonceny externy ludsky audit. Kym tuto latku nesplnime, kazda Bitcoin-kriticka zmena prechadza pravidelnym AI-assisted procesom cez GPT, Claude a Gemini a ostava otvorena na ludsku kontrolu.
v0.1 · 2026-05-01 · 1. maja 2026
01 · Stav
Ludsky audit este nebol dokonceny.
Je to bezpecnostny fakt, nie poznamka pod ciarou.
Asylia je v ranej faze a uprimny stav je jednoduchy: externy ludsky bezpecnostny tim este nedokoncil report na produkt. Slovo auditovane nebudeme pouzivat ako skratku, kym taka praca neexistuje, neprejde kontrolou a neda sa verejne odkazat.
Aktualnou kontrolou je staly AI-assisted review program zamerany na uzky Bitcoin povrch: descriptory, tvorbu scriptov, PSBT assembly, hardverove signing adaptery, kontrolu podpisov a broadcast behavior. AI review system necertifikuje. Otvara otazky, hlada edge cases a vynucuje opakovatelne dokazy pred vydanim kodu.
AI review
Pravidelny
Spustany pri materialnych bezpecnostnych zmenach a release kandidatoch.
Modelove quorum
3 rodiny
GPT, Claude a Gemini sluzia ako oddelene kontrolne pohlady.
02 · Metoda
Tri nezavisle modelove prechody.
Cielom je adversarial pokrytie, nie verdikt jedneho modelu.
Kazde kolo kontroly dava rovnaky ohraniceny scope aktualnemu top modelu z rodin GPT, Claude a Gemini. Zistenia porovnavame podla prekryvu a nezhody. Opakovane zistenia sa menia na engineering pracu; zistenia jedneho modelu sa preveria, reprodukuju alebo uzavru s poznamkou. Proces je najsilnejsi vtedy, ked sa modely nezhodnu, pretoze nezhoda odhaluje predpoklady, ktore bezny checklist lahko minie.
- 01
Scope freeze
Definuje presny balik, routu, adapter alebo transakcnu cestu pod kontrolou.
- 02
Model review
GPT, Claude a Gemini bezia nezavisle s rovnakym threat modelom a kodovym kontextom.
- 03
Triedenie
Zistenia sa skupinuju podla severity, reprodukovatelnosti, funds surface a dopadu na pouzivatela.
- 04
Oprava
Potvrdene problemy sa opravia, stabilne failure modes dostanu testy a residual risk sa zapise.
03 · Pokrytie
Aktualna AI review zostava.
Modelove rodiny su uvedene podla roly, nie ako certifikacne autority.
| Modelova rodina | Rola v kontrole | Aktualny fokus | Stav reportu | Kadencia |
|---|---|---|---|---|
| GPT | Systemovy reviewer | Cross-file invarianty, data-flow predpoklady a chybajuce negativne testy. | Iba interne poznamky | Kazde auditne kolo |
| Claude | Adversarial reviewer | Medzery v threat modeli, nejednoznacne wallet policy handling a failure-mode reasoning. | Iba interne poznamky | Kazde auditne kolo |
| Gemini | Breadth reviewer | Large-context porovnanie adapterov, dokumentacie, changelogu a produktovych tvrdeni. | Iba interne poznamky | Kazde auditne kolo |
GPT
Systemovy reviewer
Cross-file invarianty, data-flow predpoklady a chybajuce negativne testy.
Iba interne poznamky
Claude
Adversarial reviewer
Medzery v threat modeli, nejednoznacne wallet policy handling a failure-mode reasoning.
Iba interne poznamky
Gemini
Breadth reviewer
Large-context porovnanie adapterov, dokumentacie, changelogu a produktovych tvrdeni.
Iba interne poznamky
04 · Scope
Prva auditna hranica je Bitcoin-kriticka.
Produktovy chrome moze pockat. Funds-facing primitiva nie.
Zamyslany prvy externy auditny scope je kod, ktory moze ovplyvnit korektnost walletu, podpisovy zamer, recovery alebo broadcast safety.
- btc-core: descriptor parsing, derivacia adries, PSBT assembly, finalizacia a kontroly podpisov.
- blockchain-data-btc: chain citania, interpretacia UTXO, fee vstupy a broadcast hranice.
- hw-trezor a hw-ledger: export public rootu, registracia politiky, podpisovanie na zariadeni a spracovanie vratenych podpisov.
- shared-types: domenove kontrakty, ktore drzia wallet policy, signer metadata a stav transakcii konzistentne napriec aplikaciami.
05 · Limity
AI review nenahradza ludsku zodpovednost.
Je uzitocny prave preto, ze jeho limity su explicitne.
AI-assisted review vie rychlo rozsirit pokrytie, ale nenahradza kvalifikovany ludsky audit, live exploit validaciu, review vendor firmveru ani formal assurance. Zistenia berieme ako leads, kym nie su reprodukovane v kode, pokryte testami alebo uzavrete s konkretnym dovodom.
- Ziadny AI model nemoze certifikovat, ze funds su bezpecne.
- Ziadny modelovy vystup nie je prijaty bez engineering review.
- Ziadne nevyriesene kriticke zistenie nie je skryte za marketingovym jazykom.
06 · Publikovanie
Reporty odkazeme, ked budu realne.
Bezpecnostne tvrdenia maju byt kontrolovatelne citatelmi, nie len naznacene tonom.
Ked bude externy ludsky audit zadany a dokonceny, tato stranka odkazuje report, scope, commit range, potvrdene zistenia, opravy a akykolvek akceptovany residual risk. Dovtedy Asylia popisuje aktualny proces presne: pravidelny AI-assisted review, otvorene Bitcoin primitiva a responsible disclosure.
Chcete skontrolovat povrch sami?
Zacnite uzkou politikou a MIT-licencovanymi balikmi. Cim mensi wallet surface ostava, tym lahsie ho vedia externi revieweri spochybnit.