AI工具在黑客能够实施之前捕获了关键的XRP账本漏洞

• 广告 -

一款由人工智能驱动的安全审计工具在2026年2月识别出XRP账本（XRP Ledger）中的一个关键双花漏洞，这可能在动到任何单个钱包之前就阻止用户资产中数以亿计的损失。

这个漏洞实际做了什么

该漏洞位于两个特定的 XRPL 功能的交汇处：部分支付（Partial Payments）以及某些基于托管（escrow）的智能合约逻辑。单独来看，这两个功能都不是问题所在。在特定条件下将它们组合起来，就形成了一条可被利用的路径：攻击者可能诱使账本将一笔支付记录为已完全结算，但实际上只有目标 XRP 的一部分真正发生了转移。

此类利用的实际目标将是运行在账本上的自动做市商（automated market makers）和去中心化交易所（decentralized exchanges）。两者都依赖精确的结算逻辑才能正常运作。一笔在表面上看起来已完整结算、但交付的价值却是部分的交易，正是那种会在任何人注意到账目出错之前，悄悄从 AMM 和 DEX 中抽走流动性的差异。

这个漏洞并不简单。它需要对边缘情况的交互进行模拟，而标准的人类审计流程很少会触及这些问题。这也正是为什么它一直没有被发现，直到某个 AI 安全工具找到了它。

如何发现以及如何修复

该发现归功于一款使用形式化验证（formal verification）方法论的 AI 审计工具，据称来自一家在 CertiK 或 Immunefi 领域运营的公司。形式化验证的工作方式是：以数学方式建模代码在数十亿种可能的交易状态下的行为，包括人类审计人员不会想到去测试的组合，因为它们不在正常使用模式之内。该漏洞就出现在这些组合之一中。

一旦发现，XRPL 基金会与 Ripple 的工程团队在任何公开披露之前，会同安全公司进行了私下合作以开发补丁。随后，这个修复通过 XRPL 的标准修订（amendment）治理流程提交；该流程要求在 14 天期间内由验证者网络达成 80% 的共识才会被采纳。修订获得通过。没有资金丢失。零。

该修复已集成到 rippled 版本 2.3.0 及更高版本中。

                加密市场只剩一个催化剂需要定价，而它会在周日到来

为什么治理回应很重要

技术层面的修复只是故事的一部分。治理回应则是另一部分。XRPL 在不进行硬分叉（hard fork）、不发生链分裂（chain split），也不出现任何网络停机（network downtime）时，解决了一个关键漏洞。该修订流程——XRPL 的一些批评者有时将其描述为缓慢或过度保守——却高效地处理了一个真正严重的安全问题，并且对用户没有造成任何附带损害。

对于使用 Ripple 支付基础设施的机构参与者而言，这一结果具有实实在在的分量。一个主要的 Layer 1 网络能够在被利用之前、通过有序的验证者共识流程在代码逻辑层面对关键缺陷进行修补，这正是当讨论转向规模化的机构采用时，人们需要的那种运营背书。

更广泛的信号

这一事件是生成式 AI 审计工具在生产级区块链基础设施中识别出人类评审遗漏漏洞的更为重要的早期案例之一。其含义并不是人类审计人员已经过时。更准确地说：在机器规模下的形式化验证与人类专业知识的结合，能比两者各自单独产生的效果更显著地增强安全态势。