AI工具在黑客能够实施之前捕获了关键的XRP账本漏洞

• 广告 -

一款由AI驱动的安全审计工具在2026年2月于XRP Ledger中识别出一个关键的双重支付（double-spend）漏洞，这可能在任何一个钱包被触达之前，避免用户资产损失数以亿计。

Bug 实际上做了什么

该漏洞位于两项特定的 XRPL 功能的交汇处：部分支付（Partial Payments）以及某些类似托管（escrow）风格的智能合约逻辑。单独来看，这两项功能都不是问题所在。在特定条件下将它们组合起来，才会产生一条可被利用的路径：攻击者可能会让账本在实际上只有一小部分预期的 XRP 被转移的情况下，却把这笔付款记录为“已完全结算”。

此类利用的现实目标很可能是账本上运行的自动做市商（automated market makers）和去中心化交易所（decentralized exchanges）。它们都依赖精确的结算逻辑才能正常运作。一笔看起来已经完整结清、但实际交付价值却是部分的交易，正是那种会在任何人意识到账目有误之前，从AMM和DEX中抽走流动性的差异。

这个漏洞并不简单。它需要模拟那些标准人工审计流程很少会触及的边缘情况交互，这也正是它直到被某个AI安全工具发现之前都未被察觉的原因。

如何被发现以及如何修复

该发现归功于一款使用形式化验证（formal verification）方法的AI审计工具，据称来自一家在 CertiK 或 Immunefi 领域运营的公司。形式化验证的工作方式是，通过数学方式对代码在数十亿种可能的交易状态下的行为进行建模，其中包括人类审计员通常不会想到去测试的组合，因为这些组合不在正常使用模式之内。该漏洞就存在于这些组合之一中。

一旦被发现，XRPL 基金会与 Ripple 的工程团队与安全公司私下合作，在任何公开披露之前制定补丁。随后，该修复通过 XRPL 的标准修订（amendment）治理流程提交；该流程要求验证者网络在14天期间内达成80%的共识后才能被采用。该修订已通过。没有资金损失。为零。

该修复已集成到 rippled 版本 2.3.0 及更高版本中。

                加密市场只剩一个催化剂需要定价，而它将于周日到来

为什么治理回应很重要

技术修复只是故事的一部分。治理回应则是另一部分。XRPL 在没有硬分叉（hard fork）、没有链分裂（chain split）、也没有任何网络停机期的情况下，解决了一个关键漏洞。修订流程——XRPL 的一些批评者有时会把它形容为缓慢或过于保守——却高效地处理了一个确实非常严肃的安全问题，同时也没有对用户造成任何附带损害。

对于使用 Ripple 支付基础设施的机构参与者而言，这一结果具有真实分量。对于一个主要的第1层（Layer 1）网络来说，能够在被利用之前，通过有序的验证者共识流程，从代码逻辑层面修补关键缺陷，这种运营层面的可信记录在对话转向规模化机构采用时尤为关键。

更广泛的信号

这一事件代表了更早期、且相当重要的案例之一：生成式AI审计工具在生产级区块链基础设施中发现了人类审查所漏掉的漏洞。其含义并不是人类审计员已经过时，而是：在机器规模下进行的形式化验证与人类专业知识的结合，能比单靠任一方带来更显著的、更强的安全态势。