AIエージェントが暗号通貨の次なる大きなセキュリティ脅威となる可能性

分散型金融（DeFi）、取引ボット、スマートウォレットが進化するにつれ、モデルコンテキストプロトコル（MCP）などのプロトコルに依存するAIエージェントや小規模な自律システムによって動作するケースが増えています。MCP駆動型エージェントは自動化されたスマートな意思決定を約束する一方で、暗号資産を危険にさらす可能性のある脆弱性も生み出します。

暗号通貨におけるAIエージェントの台頭

過去1年間で、AIエージェントは暗号資産インフラに深く浸透し、ウォレット内のタスクの自動化、取引の実行、オンチェーンデータの解析、スマートコントラクトとのやり取りなどを行ってきました。最近の ヴァンエック推定 10,000年後半までに暗号通貨業界には2024万以上のエージェントが存在すると予想され、1年には2025万以上に膨れ上がると予測されている。

それらの動作の中心となるのはMCPです。これは意思決定層のような機能を持つフレームワークで、使用するツール、実行するコード、入力への応答方法などを管理します。スマートコントラクトの厳格なロジック（「何が起こるべきか」）とは異なり、MCPはAIエージェントの行動（「どのように起こるか」）を制御します。

しかし、この柔軟性によりエージェントの能力が向上する一方で、攻撃対象領域も大幅に拡大し、壊滅的な結果を招く可能性があります。

プラグインがAIエージェントを武器化する方法

プラグインはAIエージェントの原動力となる。これらのソフトウェアモジュールはAIエージェントの機能を拡張し、市場データの取得から取引の実行まであらゆることを可能にする。しかし、各プラグインは脆弱性も生み出す。ブロックチェーンセキュリティ企業SlowMistは、 4つの主な攻撃ベクトル MCP ベースのエージェントを利用するもの:

データポイズニング

細工された入力により、エージェントは誤解を招く指示に従わされ、意思決定フローに悪意のあるロジックが埋め込まれます。

JSONインジェクション

不正な JSON エンドポイントにより、安全でないコードやデータが侵入し、検証を回避して機密情報を漏洩する可能性があります。

関数のオーバーライド

攻撃者は、正当なエージェント操作を置き換えたり上書きしたりして、悪意のあるアクションを隠し、重要な制御を無効にします。

MCP間通話

エラー メッセージや偽のプロンプトによって信頼できないサービスとの通信に誘導されたエージェントは、さらなる侵害の拡大に使用される可能性があります。

重要なのは、これらのベクトルはエージェントの実行時をターゲットにしており、基礎となるLLMモデルをターゲットにしていないことです。つまり、トレーニング時ではなく、使用時の行動を乗っ取るのです。

これらの脅威がモデル中毒よりも深刻な理由

従来のAIモデルへのポイズニングでは、破損した学習データが内部の重み付けに影響を与えるのに対し、AIエージェントへの攻撃では、動作中のAIエージェントを操作します。「脅威レベルと権限の範囲はより高くなります」とSlowMistの共同創設者「Monster Z」は指摘します。これは、ランタイムアクセスには秘密鍵や資産の移動権限が含まれることが多いためです。

ある監査では、秘密鍵が露出するリスクがあり、資産の完全乗っ取りにつながる可能性のあるプラグインの欠陥が指摘されました。

賭け金：真の暗号通貨リスク

AIエージェントのエコシステムがウォレットや取引所で稼働すると、その影響は急速に拡大します。悪意のあるエージェントや侵害されたエージェントは、次のような事態を引き起こす可能性があります。

• 権限の範囲を超えて権限を利用する
• 秘密鍵を盗んだり公開したりする
• 不正な取引を誘発する
• 連鎖的なMCP呼び出しを介して相互接続されたシステムに感染を広げる

Guy Itzhaki氏（FhenixのCEO）は、プラグインは隠された実行パスとして機能し、サンドボックスによる保護が不十分な場合が多いと警告しています。プラグインは、権限昇格、機能オーバーライド、そしてサイレントリークの脅威となります。

セキュリティパッチ：基礎から正しく構築する

暗号通貨のスピード重視の文化（「素早く行動し、破壊する」）は、万全のセキュリティ要件と相容れない。シークレット・ファウンデーションのリサ・ラウド氏は、セキュリティは後回しにできないと強調する。「まずセキュリティを構築し、他の全ては二の次でなければならない」。

SlowMist では次のベスト プラクティスを推奨しています。

• 厳格なプラグイン検証: 読み込む前に信頼性と整合性をチェックします。
• 入力サニタイズ: 外部ソースからのすべてのデータをクリーンアップします。
• 最小権限: プラグインは絶対に必要なアクセス権のみを取得します。
• 動作監査: エージェントのアクションに異常がないか継続的に監視します。

これらの対策は時間がかかるかもしれませんが、リスクの高い暗号環境において不可欠な保護を提供します。

学術研究からの洞察

独立した研究は、高まる懸念を反映している。 2025年XNUMX月のArXiv論文 （「Cryptoland の AI エージェント」）では、コンテキスト プロンプトと可変メモリ モジュールの脆弱性が明らかになり、攻撃者がエージェントに巧妙に影響を与えて不正な資産転送を実行したり、プロトコル条件に違反したりする方法を示しています。

2月に発表された別の調査では、WebベースのAIエージェントは自動化において静的LLMよりも優れているものの、攻撃を受けやすいという欠点があることが指摘されています。逐次的な意思決定と動的な入力によって、そのリスクはさらに増大します。

これらの調査結果は、エージェントが LLM の単なる拡張ではなく、複雑さとリスクの層を追加するものであることを強調しています。

現実世界からの教訓 DeFi

AIエージェントはすでに DeFiMagic Labsのショーン・リー氏によると、同社は24時間7日の取引から利回り管理まであらゆるものを推進しているものの、基盤となるウォレットとインフラが追いついていないという。

歴史的な例としては次のようなものがあります。

• バナナガンボット（2024年XNUMX月）：テレグラムベースの取引エージェントがオラクルの脆弱性の犠牲になり、 ユーザーは563 ETH（約1.9万ドル）を失いました .
• Aixbtダッシュボードの侵害：不正なコマンド ユーザーのウォレットから55.5 ETH（約100,000万ドル）を送金した .

これらの事例は、エージェント インフラストラクチャ、さらには補助コンポーネントの脆弱性が、いかに大きな損失につながるかを浮き彫りにしています。

新たなソリューション：プログラム可能なウォレットと許可エージェント

AI自動化を安全に拡張するには、ウォレットは静的なトランザクション署名を超えて進化する必要があります。ショーン・リー氏が示唆するように、プログラム可能で、構成可能で、監査可能なインフラストラクチャが不可欠です。これには以下が含まれます。

• 意図認識セッション: 特定のタスク、時間枠、または資産に対してのみエージェントに権限を付与します。
• 暗号検証: すべてのエージェントアクションは署名され、検証可能です。
• リアルタイムの取り消し: ユーザーはエージェントの権限を即座に終了できます。
• 統合されたクロスチェーン フレームワーク: プロトコル間で移動する権限と ID。

このような基盤により、エージェントは制御されていないアクターではなく、制御されたアシスタントとして動作することが保証されます。

安全なAI暗号エコシステムに向けて

暗号通貨においてAIの力を活用するには、エコシステムが「セキュリティ第一」の精神を採用する必要があります。これは以下のことを意味します。

• 強化されたプロトコルをウォレットとエージェントに統合する
• 徹底したセキュリティ審査後にのみエージェントプラットフォームをリリース
• 開発者のインセンティブと安全な実践を一致させる
• エージェントに資産へのアクセスを許可する前に高度な信頼メカニズムを組み込む

エージェント セキュリティ フレームワークの採用と精査を推進するには、コア チーム、監査人、標準化団体からのトップダウンのサポートが不可欠です。

何がうそつき？

AIエージェントは、リアルタイム取引、インテリジェントなオンチェーンインタラクション、そしてより高度なパーソナライゼーションといった、暗号資産における革命を約束します。しかし、これらの機能を可能にする基盤は、リスクを増幅させるものでもあります。

攻撃ベクトルは理論上のものではなく、現実のものであり、十分に理解されており、ますます巧妙化しています。プロトコルにセキュリティを徹底的に統合しなければ、強力なツールが壊滅的な侵害の入り口と化してしまう危険性があります。

MCPはすでに機会と危険の両方をもたらしています。学術研究や実際の事例は、プラグインやプロトコルの設計におけるわずかなミスがパンドラの箱を開けてしまう可能性があることを示しています。

しかし、前進への道はあります。ウォレット、プラグイン、エージェントに初日からセキュリティと権限付与を組み込み、継続的な監視と暗号資産固有の安全対策を積み重ねることで、暗号資産の核となる原則である「トラストレスでユーザーがコントロールする金融」を損なうことなく、AIの可能性を最大限に引き出すことができます。

AIエージェント：未来への準備

暗号資産の世界におけるAIエージェントの急速な導入は、諸刃の剣です。1年にはエージェントの数が2025万を超えると予測され、すでに脆弱性も特定されていることから、私たちは明らかに転換期を迎えています。

セキュリティがスマートコントラクト自体と同様に基盤として確立されない限り、チェックされていない自動化は資産を直接的なリスクにさらします。安全なプラグインの審査、インテントトレーシング、最小権限アクセスを優先することで、開発者はAIエージェントがユーザーの主権を損なうことなく、その主権を尊重することを保証できます。

行動を起こす時は今です。次世代のエージェントが明日のニュースで大きく取り上げられる侵害事件になる前に、これらのシステムを保護しなければなりません。