AI工具在黑客能够实施之前捕获了关键的XRP账本漏洞

• 广告 -

一种由 AI 驱动的安全审计工具在 2026 年 2 月于 XRP Ledger 中识别出一个关键的双重支付（double-spend）漏洞，该漏洞可能在任何一个钱包被单独触碰之前就阻止用户资产损失数以亿计的款项。

漏洞实际上做了什么

该漏洞位于 两项特定 XRPL 功能 的交汇处：部分支付（Partial Payments）以及某些基于托管（escrow）的智能合约逻辑。单独来看，这两项功能都不是问题所在。在特定条件下将它们组合起来，便形成了一条可被利用的路径：攻击者有可能诱使账本将一笔支付记录为“已完全结算”，但实际上只有一部分预期的 XRP 被转移。

此类利用的实际目标将会是账本上运行的自动化做市商（automated market makers）和去中心化交易所（decentralized exchanges）。两者都依赖精确的结算逻辑才能正常运作。读起来像是“完整完成”却实际只交付了部分价值的交易，正是那种会在任何人注意到账务错误之前，从 AMM 和 DEX 中抽走流动性的差异。

该漏洞并不简单。它需要模拟标准人工审计流程很少触及的边缘情况交互，而这正是它直到某个 AI 安全工具发现之前一直未被察觉的原因。

如何被发现并修复

据称，这次发现归功于一款使用形式化验证方法论的 AI 审计工具，来自一家在 CertiK 或 Immunefi 领域开展业务的公司。形式化验证通过在数学层面对代码在数十亿种可能的交易状态下的行为进行建模来工作，其中包括人类审计员往往不会想到去测试的组合，因为这些组合不属于正常使用模式。该漏洞正存在于其中一种组合之中。

在发现之后，XRPL 基金会与 Ripple 的工程团队与该安全公司私下合作，在任何公开披露之前制定补丁。随后，该修复通过 XRPL 的标准修订（amendment）治理流程提交：该流程要求验证者网络在 14 天期间内达成 80% 共识后方可被采用。该修订获得通过。没有资金损失。为零。

该修复已集成进 rippled 2.3.0 及更高版本。

                加密市场只剩一个催化剂需要定价，而它会在周日到来

为什么治理响应很重要

技术修复只是故事的一部分。治理响应是另一部分。XRPL 在没有硬分叉（hard fork）、没有链分裂（chain split）、也没有任何一段网络停机时间的情况下，解决了一个关键漏洞。修订流程——XRPL 的一些批评者有时会将其描述为缓慢或过度保守——却以高效率的方式处理了一个确实严重的安全问题，并且对用户没有造成任何附带损害。

对于使用 Ripple 支付基础设施的机构参与者而言，这一结果具有真实的分量。当讨论转向在规模化层面进行机构采用时，具备能力的主要 Layer 1 网络能够在被利用之前、通过有序的验证者共识流程从代码逻辑层面修补关键缺陷，这种可验证的运营记录会变得尤为重要。

更广泛的信号

这起事件是较为重要的早期案例之一：生成式 AI 审计工具能够在人工复核未发现漏洞的情况下，识别出生产级区块链基础设施中的安全缺陷。其含义并不是人类审计员已不再需要。而是：在机器规模上进行形式化验证与人类专业知识的结合，能比单独依赖任一方产生更强的安全态势。