AI 工具在黑客有機會行動之前捕捉到 XRP 升級的關鍵漏洞

• 廣告 -

一款由 AI 驅動的安全稽核工具在 2026 年 2 月於 XRP Ledger 中辨識出一項嚴重的雙重支出（double-spend）漏洞，可能在任何單一錢包被觸及之前，阻止了價值數億美元的使用者資產損失。

這個 Bug 實際上做了什麼

該漏洞位於 兩個特定的 XRPL 功能 的交會點：部分付款（Partial Payments）以及某些以托管（escrow）為風格的智慧合約邏輯。單獨來看，這兩項功能都不是問題。當它們在特定條件下結合時，就形成了一條可被利用的攻擊路徑，使攻擊者能夠讓分類帳在僅有原定 XRP 的一部分實際轉移的情況下，仍將一筆付款記錄為已完整結算。

這類漏洞的實作目標很可能是那些在分類帳上運作的自動化做市商（automated market makers）與去中心化交易所（decentralized exchanges）。兩者都依賴精確的結算邏輯才能正常運作。一筆「看起來已完成」卻只交付部分價值的交易，正是那種在會計尚未出問題前會先從 AMM 與 DEX 吸走流動性的差異。

這個 Bug 並不簡單。它需要模擬標準的人類稽核流程很少會碰到的邊界情況互動——正因如此，直到有一款 AI 安全工具發現它之前，它才未被察覺。

如何被發現以及如何修復

該發現的功勞歸於一款使用形式化驗證（formal verification）方法論的 AI 稽核工具，據稱來自一家在 CertiK 或 Immunefi 領域運作的公司。形式化驗證透過數學方式對程式在數十億種可能的交易狀態下的行為進行建模，包含人類稽核員不會想到去測試的組合，因為這些組合落在非正常使用模式之外。該漏洞就存在於其中一種組合之中。

一旦被發現，XRPL Foundation 與 Ripple 的工程團隊就與該安全公司私下合作，在任何公開披露之前開發修補程式。修補隨後透過 XRPL 的標準修正（amendment）治理流程提交，該流程要求在 14 天期間內，驗證者網路達成 80% 共識才可採用。該修正通過了。沒有資金遺失。零。

該修復已整合到 rippled 版本 2.3.0 與更高版本。

                加密貨幣市場只剩一個催化劑需要定價，而它將於週日到來

為何治理回應很重要

技術修復只是故事的一部分。治理回應則是另一部分。XRPL 在不進行硬分叉（hard fork）、不發生鏈分裂（chain split）、且不需要任何一段網路停機的情況下，解決了嚴重的安全漏洞。修正流程——XRPL 的批評者有時會將其描述為緩慢或過於保守——卻高效率地處理了一個確實嚴重的安全問題，並且沒有對使用者造成任何附帶損害。

對使用 Ripple 付款基礎設施的機構參與者而言，這個結果具有實質分量。當談話轉向以規模化方式推進機構採用時，能夠在遭到利用之前、透過有序的驗證者共識流程，於代碼邏輯層級修補一個關鍵缺陷的能力，正是那種在營運記錄上真正重要的指標。

更廣泛的訊號

這起事件代表了一個較為重要的早期案例：生成式 AI 稽核工具能夠在產線（production）區塊鏈基礎設施中找出人類審查所遺漏的漏洞。其含意並不是人類稽核員已不再需要。重點在於：在機器規模上進行形式化驗證，再加上人類專業知識——其綜合效果所帶來的安全防護強度，會比單靠任何一方所能達成的更為實質。