以太坊力推「見たまま署名」：なぜ Clear Signing は AI 時代に必須のセキュリティパッチなのか？

長い間、ウォレットのセキュリティについて言及する際、最もよく注意されてきたのは主に二つのことでした。それは、シードフレーズ（秘密鍵の復元フレーズ）を適切に管理することと、フィッシングリンクをクリックしないことです。

なぜなら、セルフカストディウォレットにおいて、シードフレーズ/秘密鍵は常に資産の管理権を意味し、その重要性はいくら強調してもし過ぎることはないからです。しかし、AIエージェントがウォレット、取引、決済、そしてオンチェーンでの実行シーンに参入し始めたことで、新たな問題が重要性を増しています。それは、たとえ秘密鍵が漏洩していなくても、一度の誤った承認、誤解を招く署名、あるいは汚染された自動化指令によって、資産が送金されてしまう可能性があるということです。

言い換えれば、ウォレットのセキュリティは、「誰が資産を管理できるか」から、「なぜ資産が動かされるのか、どのような方法で動かされるのか、それがユーザーの真の意図に沿っているのか」へと、その焦点が移行しつつあります。

そして、これこそが、5月12日に「クリアサイニング（Clear Signing）」がイーサリアムのオープンな標準化プロセスへとさらに推し進められた重要な理由です。客観的に見て、これは新しい問題を解決しようとしているのではなく、暗号世界に長年存在してきた古くからの問題に取り組もうとしています。多くのユーザーはセキュリティを軽視しているのではなく、確認ボタンをクリックする前に、自分が一体何に署名しているのか全く理解できていないのです。

1. AIエージェント時代、Web3のセキュリティ境界線が静かに拡大している

周知の通り、AIエージェントの登場により、Web3のオンチェーンインタラクションも、より自然言語に近い方向へと発展しています。

例えば、以前であれば取引を完了させるために、自分でDAppを開き、ウォレットを接続し、パスを選択し、承認を確認し、トランザクションを発行する必要があり、すべてのステップを自分で操作し、ポップアップで確認する必要がありました。将来的には、この一連の流れは、「より利回りの高いステーブルコインプールを探して」「エアドロップを受け取ったらETHに換えて」といった一言に大幅に簡略化される可能性があります。

ユーザー体験の観点から見れば、これは間違いなく進歩です。AIエージェントは、ユーザーが情報を理解し、手順を分解し、トランザクションを生成し、効率を向上させ、さらには一定の権限範囲内で自動的に操作を完了するのを支援できます。

しかし、効率性が向上する一方で、セキュリティの境界線は拡大しています。

なぜなら、この時点で資金の流れを真に決定するのは、もはやユーザー本人だけでなく、エージェントの解釈や外部データソースなど、複数の要素が関与する可能性があるからです。これらの要素のどこか一つが汚染されれば、ユーザーが見ている「これを実行して」という指示が、攻撃者の意図する「代わりに送金して」に変わってしまう可能性があります。

最近、攻撃者がX（旧Twitter）上でのプロンプトインジェクション（指示の注入）を通じて、AIエージェント関連システムに異常な送金を実行させた事件がありました。この事件では30億のDRBトークン（約15万～20万ドル相当）が関与しており、このような事件の核心は従来の秘密鍵の漏洩ではなく、まさにAIシステムがどのように入力内容を解釈し、どのように権限を取得し、どのように指令をオンチェーンの実行層に伝達するかという問題です。

これはまた、攻撃者が必ずしもウォレットを直接攻撃する必要はなく、エージェントが過剰な権限の下で悪意のある入力を有効なコマンドと誤認させさえすれば、実際の資金損失を引き起こす可能性があることを示しています。

従来のインターネットのシナリオでは、AIがプロンプトインジェクションの影響を受けたとしても、誤った回答をしたり、コンテキストを漏洩したり、誤ったAPIを実行したりする可能性があります。しかし、暗号資産のシナリオでは、エージェントがウォレットに接続し、承認権限を持ち、トランザクションを発行できるようになると、誤った指示が直接オンチェーンでの送金に直結する可能性があります。オンチェーントランザクションは不可逆的であるため、AIエージェントのセキュリティ問題はもはや「モデルのセキュリティ」だけでなく、「資産のセキュリティ」でもあります。

したがって、AIエージェント時代のウォレットセキュリティは、「AIをより賢くする」だけでは解決できません。本当に重要なのは、エージェントがトランザクションを生成し、ユーザーが署名を確認するまでの間に、十分に明確で、検証可能で、理解可能なセキュリティインターフェースが存在しなければならないということです。

そのインターフェースこそが、ウォレットなのです。

2. 「確認」をクリックすることは、本当にユーザーが理解したことを意味するのか？

一般ユーザーにとって、ウォレットで最も馴染み深い操作はおそらく「確認」でしょう。

DAppへの接続を確認する、スワップを確認する、トークン承認を確認する、クロスチェーンを確認する、エアドロップの受け取りを確認する、ステーキング/レンディングやNFTのミントもすべて確認が必要です。

問題は、多くの確認画面がユーザーに対して「確認した後に何が起こるのか」を真に伝えていないことです。

しばしば、ユーザーが見るのは関数名の羅列であったり、理解不能な16進数データの塊であったり、非常に大雑把な「Approve」や「Sign Message」といった表示であったりします。技術的には、これらの情報は間違っていないかもしれません。しかし、大多数のユーザーにとって、それらは有効な判断材料にはなりません。

これこそが、「盲目的な署名（ブラインドサイン）」の最も危険な点です。

盲目的な署名とは、ユーザーが全く見ていないということではなく、見ている情報が判断を下すのに不十分であることを意味します。ちょうど、契約書に署名しようとして、その内容が理解できない言語で書かれており、最後に「同意」ボタンだけが表示されているようなものです。自分が署名していることは分かっていても、署名した後にどのような結果を招くのかは知らされていないのです。

イーサリアムファウンデーションは、Clear Signingに関する発表の中で、多くの重大な攻撃の最終段階はコードの脆弱性ではなく、ユーザーが真に理解できないトランザクションを承認してしまったことにあると強調しています。トランザクションの確認が本来、ユーザーが資産を管理する最後の防衛線であるべきならば、盲目的な署名はその防衛線を無効化してしまうのです。

つまり、ここ数年でアカウントアブストラクションが解決しようとしてきたのが「いかに便利に実行するか」であるならば、Clear Signingが解決しようとしているのは「実行前にいかに明確に検証するか」です。これらは表裏一体の関係にあります。なぜなら、より良い署名の解釈がなければ、複雑な自動実行や強力なアカウント機能は、より大きな誤操作の余地をもたらす可能性があるからです。

ERC-7730は、まさにこの位置づけで登場しました。EIP-7730提案自体の説明によれば、これはClear Signingのための構造化データフォーマットです。JSONファイルを通じてABI（アプリケーションバイナリインターフェース）やメッセージタイプ以外の情報を補完し、生のトランザクションデータを人間が検証しやすい表示コンテンツに変換します。同時に、トランザクションシミュレーションなどの機械システムでも直接利用できます。

より平たく言えば、ERC-7730はオンチェーンでのトランザクション自体を変更するのではなく、トランザクションとユーザーの間に、標準化された解釈の層を追加するものです。例を見れば直感的に理解できるでしょう。下の画像のように、以前のウォレットは関数セレクターとパラメータしか表示できなかったかもしれませんが、ERC-7730を重ねることで、ユーザーが読める具体的な操作内容が表示されるようになります。

これを基盤として、ERC-7730をサポートするウォレットは、生の関数セレクターと整数パラメータを、「1,000 USDCを最低0.42 WETHとスワップする（Swap 1,000 USDC for at least 0.42 WETH）」といった人間が読める内容に変換して表示できます。これは単なるUIの改善に見えますが、実際にはセキュリティ機能の根本的なアップグレードです。

ユーザーがトランザクションの内容を理解して初めて、確認に意味が生まれます。そして、ウォレットが取引の意図を構造化して表示できて初めて、ユーザーは署名の前に問題を発見する機会を得ることができるのです。

3. 検証可能なUI（Verifiable UI）：ユーザーが見ているものが、実際に起こることであるために

ここで、私たちが最近強調し続けている「検証可能なUI（Verifiable UI）」の話に戻ります。

Clear Signingの目標が、ユーザーに自分が何に署名しているのかを理解させることだとすれば、検証可能なUIが解決しようとする問題はさらに一歩進んでいます。ユーザーが見ているコンテンツが、実際のオンチェーンでの実行と信頼できる対応関係を確立できるかどうか、ということです。

これはWeb3のシナリオにおいて極めて重要です。

多くのユーザーはDAppのフロントエンドを信頼する傾向があります。ページに「報酬を受け取る」と書いてあれば、報酬を受け取っていると思い込む。ページに「ステーキング」と書いてあれば、ステーキングしていると思い込む。ページに「セキュリティ認証」と書いてあれば、単なる身分確認だと思い込むのです。

しかし、実際に資産を動かすことができるのは、ウェブページ上のボタンではなく、ウォレット内で最終的に署名されたトランザクションです。

DAppのフロントエンドは攻撃される可能性があり、ドメイン名は偽装される可能性があり、ページの文章は偽装される可能性があります。AIエージェントが読み取る情報も、汚染されたウェブページやソーシャルメディアのコンテンツから得られたものかもしれません。ウォレットが機械的に確認ボタンを表示するだけなら、ユーザーは依然として「フロントエンドを信じている」状態にあります。

これこそが、imTokenがERC-7730をサポートし、検証可能なUI（Verifiable UI）とClear Signingの推進を計画している重要な意義です。

これは単に確認ページに数行のテキストを追加することではありません。ウォレットを「トランザクションの最後のボタン」から「署名前の最後の検証レイヤー」へと変えることです。ユーザーやAIエージェントがトランザクションを発行しようとする際、ウォレットはユーザーに対して、このトランザクションが実際に呼び出しているコントラクト、実際に送金される資産、承認先、承認範囲、そして最終結果がページの表示と一致しているかどうかを、可能な限り伝えなければなりません。

この機能は、AIエージェントの時代において、さらに重要になります。

エージェントはユーザーのために多くのことを行えますが、エージェントも間違いを犯す可能性があります。ユーザーはすべての判断をエージェントに委ねることはできません。ウォレットも、エージェントが生成したトランザクションをそのままユーザーに差し出して確認させるべきではありません。実際には、より合理的な方法は、エージェントが効率性を向上させ、ウォレットが境界線を守ることです。

これこそが、検証可能なUI（Verifiable UI）とClear Signingの価値です。これはユーザーが新しい技術を使うのを妨げるものではなく、新しい技術がより検証可能な範囲内で機能するようにするものです。特に、スマートアカウント、AIエージェント、自動取引、クロスチェーン実行がますます一般的になるにつれて、ウォレットの確認画面は「Confirm / Approve」という情報密度の低い状態に留まるべきではなく、ユーザーがオンチェーン上の挙動を理解するための重要なインターフェースとなるべきです（関連記事：「Kelp DAO事件から検証可能なUI（Verifiable UI）へ：なぜ『検証可能なインターフェース』が新たな分散型セキュリティの最低基準となるのか？」をご参照ください）。

最後に

暗号資産業界は、常により良いユーザー体験を追求してきました。

シードフレーズからスマートアカウントへ、手動操作からAIエージェントへ、単一トランザクションからバッチ実行へ。ウォレットはより強力になり、日常的なインターネット製品の使用方法に近づいています。しかし、そうであればあるほど、ある基本的な事実を見過ごしてはなりません。それは、オンチェーントランザクションは不可逆的であり、署名は依然としてユーザーの資産が移動する前の最も重要なステップであるということです。

過去には、「シードフレーズを漏らしてはいけない」とよく言われました。将来、AIエージェントの能力がWeb3やオンチェーンに広く浸透するにつれて、私たちはさらに一言を付け加える必要があるかもしれません。理解できない取引に署名してはいけない。そして、エージェントに検証できない指示を代行させてはいけない。

結局のところ、イーサリアムファウンデーションがClear Signingの標準化を推進しているのも、imTokenがERC-7730をサポートし、検証可能なUI（Verifiable UI）とClear Signingを推進しているのも、本質的には同じ方向性を指し示しています。

新しい時代のウォレットは、単に使いやすくなるだけでなく、より信頼できるものとなり、ユーザーがオンチェーンを真に理解するための真のパートナーとなるべきなのです。