ブロックチェーンセキュリティ監査企業CertiKのCEO、Ronghui Gu氏は、インターネットや企業ネットワーク、消費者向けアプリケーションにおける自治的なAIエージェントの急速な展開が、破滅的なセキュリティ負債を生み出していると警鐘を鳴らしている。
企業はこれらのツールを効率化の画期的手段として積極的に導入しているが、実態は非常にリスクが高いとGu氏は指摘する。分離や検証が行われていないAIエージェントは、重大なセキュリティ災害を引き起こす危険性が高い状態にあると同氏はCoinDeskに語った。
Gu氏は、ユーザーが最も機密性の高いファイルやローカル認証情報、資金アカウントを、容易に操作されたり乗っ取られたりして詐欺に悪用される自治的システムに晒している可能性があると警告した。
「現状、エージェントは単なるチャットウィンドウでの質問応答にとどまらず」とGu氏は、CertiKの詳細なエージェントインフラ調査報告を踏まえCoinDeskに説明した。 「エージェントは外部ツールの呼び出し、ローカルファイルの読み取り、ワークフローの起動、金融インフラとの連携を開始しています。しかし実行環境を分離せず、先にこれらのツールをスキャンしなければ、危険にさらされたIDがネットワーク全体の内部アクセスを広範に取得する恐れがあります」
Gu氏によると、現在のAIエージェントブームの根本的な問題は誤った信頼モデルにあるという。
CardanoのInput Output創業者兼CEO、Charles Hoskinson氏は2035年までにAIエージェントがインターネット上で人間より重要な存在になると予測している。CoinbaseのCEO、Brian Armstrong氏は「近い将来、AIエージェントの取引量が人間を上回る」と述べ、Binance創業者のChangpeng Zhao氏も「AIエージェントは人間の100万倍の決済を行うだろう」と予想している。
究極の内部脅威
Gu氏は、多くの人気あるオープンソースのAIアプリケーションがユーザーのコンピューター上でローカルに動作するか、WhatsAppなどの標準チャットアプリ経由で接続されるため、外部からの脅威はないと見なされていると指摘する。
しかし実際は全く逆である。ユーザーがAIエージェントにローカルシステムのストレージ読み取り、実行履歴の閲覧、個人メールや業務データベースの認証情報管理を許可した時点で、そのエージェントは究極の内部脅威となる。
CertiKが最近分析した急速に拡大するエージェント構造では、数百件に及ぶ重大なセキュリティアドバイザリ、未修正の一般的脆弱性(CVE)、境界チェックの欠如によるローカル認証情報やセッションメモリの大量漏洩など、驚異的なセキュリティ脆弱性の蓄積が明らかになった。
さらにGu氏は、こうした自治的システムが一行の悪意あるコードを必要とせず、推論層で容易に完全にリダイレクトされ得る点が危険だと強調する。
「プロンプトインジェクション」攻撃によって、悪意ある者は無害に見えるウェブページやPDF文書、受信メールに隠れた自然言語命令を埋め込むことが可能だとGu氏は述べた。
分離されていないAIエージェントがこれらファイルを読みタスクを処理する際、信頼されたシステムコマンドと外部からの信頼されていないデータの区別が付かなくなる。エージェントは静かに元のルールを上書きして悪意ある命令に従い、データの密出しや不正な資金移動を引き起こせるとGu氏は説明する。
超高速の攻撃
Gu氏は、CertiKがエージェントユーティリティハブに直接設置された数百件の悪意あるスキル、偽インストーラー、類似依存パッケージを発見したと明かした。これらの悪質プラグインは標準的な自然言語を用いてエージェントの挙動を微妙に操作し、その目的を変えるため、従来のシグネチャベースアンチウイルスでは検知を完全に回避する。
「詐欺アプリは自然言語を用いて行動を誘導するため、従来型アンチウイルススキャンが無効化されます」とGu氏は説明した。「今は人を騙すよりも機械を騙す方がはるかに容易な時代です」
Gu氏はこの奇妙な金融犯罪の進化を指摘し、CertiKのテレメトリでは10分から数時間のみ稼働し完全に消失する超高速で一過性のオンチェーンサイバー詐欺の爆発的増加を観測している。
これらの超高速かつ一時的な悪用手法は、ハッカーが他の自治的AIトレーディングボットや自動エージェントシステムを狙い、人間が気付く前に機械間で資金を搾取することを目的としている。
Gu氏は、ソフトウェアエンジニアリング業界はもはや信頼ベースの相互作用に頼ることを止め、すべてのコマンドや依存関係を継続的に検証する分離された「ゼロトラスト」アーキテクチャへの即時移行が不可欠だと指摘している。
