ブロックチェーンセキュリティ監査企業CertiKの最高経営責任者であるRonghui Guは、インターネットや企業ネットワーク、消費者向けアプリケーションにおいて自治的AIエージェントを急速に導入することが、破滅的なセキュリティ負債を生み出していると指摘した。
企業はこれらのツールを効率化の手段として積極的に導入しているものの、実態としては非常に高いリスクを孕んでいる。検証や分離がなされていないAIエージェントは、重大なセキュリティ事故の発生を待つ状態にあるとGu氏はCoinDeskの取材に語った。
Gu氏は、ユーザーが最も機密性の高いファイルやローカルの認証情報、資金のアカウント情報を、簡単に操作され不正利用される恐れのある自治的システムに晒している可能性があると警鐘を鳴らした。
「現在のAIエージェントは単なるチャットによる応答だけでなく、外部ツールの呼び出し、ローカルファイルの読み取り、ワークフローの起動、金融インフラとの連携を始めています。しかし、実行環境の分離や事前スキャンが欠如していると、危険にさらされたIDがネットワーク全体への内部アクセス権を取得する恐れがあります」と、Gu氏はCertiKによる広範なエージェントインフラ調査報告の直後に述べた。
Gu氏によると、現状のAIエージェントブームの根本的問題は、誤った信頼モデルにある。
CardanoのInput Output創業者兼CEOのCharles Hoskinsonは2035年までにAIエージェントがインターネット上で人間より重要な存在になると予測しており、CoinbaseのCEO Brian Armstrongは「非常に近い将来、AIエージェントが人間よりも多く取引を行うだろう」と述べている。Binanceの創業者Changpeng Zhaoも、「AIエージェントは人間の100万倍の決済を行うだろう」と予測している。
究極の内部脅威
Gu氏は、多くの人気オープンソースAIアプリケーションがユーザーのコンピューター上でローカルに動作するか、WhatsAppのような標準チャットアプリを通じて接続されるため、外部からの脅威がないという前提で設計されていると指摘する。しかし実態は逆であり、ユーザーがAIエージェントにローカルシステムのストレージ読み取り、実行履歴の閲覧、個人メールや業務用データベースの認証情報管理を許可した瞬間、そのエージェントは究極の内部脅威となる。
CertiKが最近分析した急速に拡大する初期段階のエージェント構造では、数百件に及ぶ重大なセキュリティアドバイザリや未修正の共通脆弱性(CVE)、および境界チェックが不十分であるためローカル認証情報やセッションメモリの大量漏洩が発生していることが明らかになった。
さらに危険なのは、これらの自治的システムがコードを書かせずとも推論過程において容易に再指向が可能である点だ。Gu氏は、「プロンプトインジェクション」攻撃により、悪意のある者が無害に見えるウェブページやPDF文書、受信メール内に隠れた自然言語命令を埋め込むことができると説明する。
分離されていないAIエージェントがそのようなファイルを読み込みタスク処理を開始すると、信頼されたシステムコマンドと信頼されていない外部データの区別がつかなくなる。その結果、エージェントは元のルールを密かに上書きし、悪意ある命令に従ってデータを持ち出したり不正な資金移動を引き起こしたりする可能性があるとGu氏は述べた。
超高速の攻撃
Gu氏は、CertiKがエージェントユーティリティハブ上に多数の悪意あるスキル、偽インストーラー、類似依存パッケージを発見したことを明かした。これらの悪質なプラグインは標準的な自然言語を用いてエージェントの挙動を巧妙に操作し、目的を変えるため、従来のシグネチャベースアンチウイルスでは検知が不可能だ。
Gu氏は「詐欺アプリは自然言語による行動誘導を利用するため、従来型のアンチウイルススキャンでは完全に阻止できません。今や人間を騙すよりも機械を騙すほうがはるかに容易な時代です」と説明した。
Gu氏が「奇妙な金融犯罪の進化」と呼ぶように、CertiKのテレメトリでは10分から数時間のみ稼働し消失する超高速かつ一過性のオンチェーンサイバー詐欺が急増していることが観測されている。
これらの超高速かつ一時的な悪用手法は、他の自治的AIトレーディングボットや自動エージェントシステムを狙い、マシン間で資金を不正に搾取し、人間が気付く前に取引を完了させる目的で設計されている。
Gu氏は、ソフトウェアエンジニアリング業界は信頼ベースの相互作用に頼ることをやめ、すべてのコマンドや依存関係を継続的に検証する分離された「ゼロトラスト」アーキテクチャへの速やかな移行が不可欠であると指摘している。