AI工具在黑客能够实施之前捕获了关键的XRP账本漏洞

• 广告 -

一款由人工智能驱动的安全审计工具在2026年2月于XRP账本中识别出一个关键的双重支付（double-spend）漏洞，可能在任何单个钱包被触碰之前，阻止用户资产中数以亿计的损失。

这个漏洞实际上做了什么

该漏洞位于两项特定的XRPL功能的交汇处：部分支付（Partial Payments）以及某些基于托管（escrow-style）的智能合约逻辑。单独看，这两项功能都不是问题所在。在特定条件下将它们组合在一起，就会形成一条可被利用的路径：攻击者可能诱导账本将一次支付记录为已被完整结算，但实际仅有预期XRP的一部分完成了转移。

此类漏洞的实际攻击目标将很可能是运行在账本上的自动化做市商（automated market makers）和去中心化交易所（decentralized exchanges）。两者都依赖精确的结算逻辑才能正常运作。看起来是完整支付、但交付的价值却是部分的交易，正是会在任何人意识到账务出错之前，从AMM和DEX中抽走流动性的那种差异。

该漏洞并不简单。它需要模拟那些超出标准人工审计流程几乎不会暴露的边缘情况交互，这也正是为什么它一直未被发现，直到某个AI安全工具找到了它。

发现与修复方式

据报道，该发现归功于一款采用形式化验证（formal verification）方法学的AI审计工具，来源于一家在CertiK或Immunefi领域运营的公司。形式化验证通过在数学层面建模代码在数十亿种可能的交易状态下的行为，包括一些人类审计员不会想到去测试的组合，因为这些组合不在正常使用模式之外。该漏洞就存在于这些组合之一中。

一经发现，XRPL基金会和Ripple的工程团队在公开披露之前，与这家安全公司私下合作制定补丁。随后，这项修复通过XRPL的标准修订（amendment）治理流程提交，该流程要求在14天期间内由验证者网络达成80%的共识才可被采用。该修订已通过。没有资金损失。为零。

修复已集成到rippled版本2.3.0及更高版本中。

                加密市场还剩一个催化剂需要定价，而它将在周日到来

为什么治理回应很重要

技术修复只是故事的一部分。治理回应则是另一部分。XRPL在没有进行硬分叉（hard fork）、没有发生链分裂（chain split），也没有经历任何网络停机的情况下，解决了一个关键漏洞。尽管有些批评者曾将XRPL的修订流程描述为缓慢或过于保守，但它还是以高效的方式处理了一个真正严重的安全问题，并且对用户没有造成任何附带损害。

对于使用Ripple支付基础设施的机构参与者而言，这个结果具有实实在在的分量。当讨论在规模化层面转向机构采用时，一个主要的Layer 1网络能够在遭到利用之前、通过有序的验证者共识流程在代码逻辑层面修补关键缺陷——这种运营履历才是关键所在。

更广泛的信号

这一事件代表了生成式AI审计工具在识别生产级区块链基础设施漏洞方面的较为重要的早期案例之一，这些漏洞是人类审查所遗漏的。其含义并不是人类审计员已经过时。更准确地说：在机器规模下的形式化验证与人类专业知识的结合，能比单靠任一方本身带来更为显著的、更强的安全态势。