AI Agent 时代链上安全报告:当交易、支付与签名主体从人变成 Agent,Web3 安全边界何在?
- 核心的な見解:AIエージェントは、Web3におけるチェーン上の操作を「人間による承認」から「モデルによる理解と自動実行」へと移行させつつあります。これにより、セキュリティの境界線は、秘密鍵の保護やコントラクトの脆弱性対策から、意図の保護、実行の制約、そしてモデル、ツール、ウォレットといったコンポーネント間の信頼関係の管理へと拡大しています。
- 主要な要素:
- 2026年のGrok/Bankrbot事件:攻撃者は秘密鍵を盗んだり、コントラクトを攻撃したりしませんでした。単にGrokにモールス信号を翻訳させ、Bankrbotがそれを送金指示として実行した結果、44万ドルの損失が発生しました。これは、AIシステム間の信頼境界線の脆弱性を露呈させました。
- 攻撃対象領域の複雑化:攻撃の焦点は、単一のコード脆弱性から、プロンプトインジェクション、メモリポイズニング、ツール権限の突破、サプライチェーン汚染、x402ペイメントハイジャックといった「接続部分」を狙ったクロスレイヤー攻撃へと移行しています。
- 防御システムの階層化:Cobo、CoinbaseなどはMPC/カストディアルウォレットを使用して秘密鍵を隔離しています。SlowMist、GoPlusはツールのセキュリティ監査を提供しています。KYA/ERC-8004はエージェントのためのアイデンティティと権限検証の基盤を確立し、多層的な防御を形成しています。
- 重要な設計原則:エージェントは提案のみを行い、ルールシステムが認可を担当する。秘密鍵と高権限はエージェントから隔離されなければならない。すべてのチェーン上のアクションは可読、検証可能、トレーサブルでなければならない。ツールチェーンはサプライチェーン資産として管理する必要がある。
過去10年、Web3セキュリティの核心的問題は、その大半が秘密鍵、スマートコントラクトの脆弱性、フィッシングを中心に展開されてきました。セキュリティの境界線は比較的明確でした。人間がページを確認し、ウォレットをクリックし、トランザクションを承認し、チェーン上で結果が実行されるという流れです。しかし、AIエージェントの登場は、このデフォルトの前提を変えつつあります。チェーン上で操作を行う主体は、「人間が自ら確認する」から「モデルが意図を理解し、ツール呼び出しシステムを介し、ウォレットや決済レイヤーが自動実行する」へと移行しており、セキュリティ問題も単一の防御ポイントから、複数レイヤーが協調する新たな段階へと進化しています。
2026年のGrokとBankrbotの事件は、業界に警告を発しました。攻撃者は秘密鍵を盗まず、コントラクトを直接攻撃することもなく、単にGrokにモールス信号を翻訳させただけでした。するとBankrbotがその自然言語を送金指示として実行し、結果的にユーザーの資産が失われました。このケースは、AIエージェント時代のリスクがコードの脆弱性から、モデル出力、ツール呼び出し、ウォレット実行間の信頼境界線へと拡大していることを示しています。
この変化は、Web3の実行チェーンが長くなったことに起因します。以前は、取引は通常、人間がページを見て、ウォレットをクリックし、署名を確認するという流れでした。現在では、ユーザーが目標を提示するだけで、エージェントがコンテキストを読み取り、ツールを呼び出し、権限を使用し、支払いを開始し、チェーン上での実行を完了する可能性があります。この過程のいずれかのステップで誤った指示が与えられたり、汚染されたり、権限が越権されたりすると、誤った意図が実際の取引に変換されかねません。したがって、オンチェーンセキュリティは、鍵を保護することから、意図を保護し、実行を制約することへとアップグレードする必要があります。
本調査レポートでは、Grok/Bankr、PocketOS、LiteLLMなどの実際のセキュリティインシデントを題材に、攻撃者がどのようにエージェントの理解、記憶、ツール、ウォレット、決済経路に影響を与えるかを分析します。次に、AIがチェーン上のどのような人間の役割を代替しているのかを議論します。最後に、Cobo、Coinbase、OKX、Binance、SlowMist、KYA、ERC-8004などのプロジェクトや提案が、どのように協力してAIエージェント時代のオンチェーンセキュリティ境界を再構築しているのかを整理します。
このレポートは、主に3つの問いに答えます。
第一に、AIエージェント時代のオンチェーン攻撃はどのようなものか?
第二に、エージェントが自律的に取引、ツール呼び出し、支払い、資産管理を行うことができるようになったとき、ウォレット、権限、署名、アイデンティティシステムはどのように再設計されるべきか?
第三に、Agentic Wallet、x402決済、MCPツール、Skillsマーケット、KYAアイデンティティシステムが成熟するにつれて、Web3セキュリティ分野にはどのような新たな産業機会が生まれるのか?
これは、AIエージェント時代のオンチェーンセキュリティパラダイムに対する体系的な再評価となるでしょう。本当の問題は、AIがチェーン上でタスクを実行できるかどうかではなく、AIが人間に代わって理解、判断、署名、支払いを開始するとき、Web3が十分に信頼でき、制御可能で、追跡可能な実行境界を準備できているかどうかです。
原文著者:Jesse、外捕研究(Web3Caff Research)研究員
制作:外捕研究(Web3Caff Research)× 慢霧科技(SlowMist) 共同制作
目次
- 一、はじめに:チェーン上のセキュリティ境界が再描画されている
- 二、役割の置き換え:AIはチェーン上のどのような「人間」を代替しているのか?
- 三、AI時代の潜在的な攻撃方法と代表的な事例
- モデル目標とプロンプトレイヤー:プロンプトインジェクションが会話内容を「実行指示」に変える
- ウォレットと署名のセマンティックレイヤー:エージェントが盲目的署名の問題を増幅する
- 記憶と状態レイヤー:攻撃者はすぐに成果を得る必要はなく、まずエージェントの長期記憶を汚染できる
- ツールとMCP/Skillレイヤー:エージェントの権限貫通が「限定された権限」を「完全な制御」に結びつける
- 自律的許可リスク:エージェントは悪意を必要とせず、十分に「熱心」であるだけで災害を引き起こす可能性がある
- AIミドルウェア攻撃:攻撃者はあなたのエージェントに触れず、まずそれが依存するツールを汚染する
- ウォレットと代理決済レイヤー:x402がAIに支払い能力を与え、Webとオンチェーン決済を結びつける
- AIを利用したソーシャルエンジニアリングとフィッシング:あなたの知り合いを攻撃する
- まとめ:攻撃者が本当に狙っているのは接続部分である
- 四、防御プロジェクトの全体像:誰が参加し、何をしているのか?
- カストディアル型MPCウォレットベンダー:署名セキュリティを専門のウォレットレイヤーにアウトソーシング
- セルフカストディアルMPC/鍵管理ソリューション:制御権を自社システム内に留める
- スマートコントラクトウォレット:開発者自身がセキュリティ境界を構築できるようにする
- 大規模プラットフォーム/取引所のAgentic Wallet as a Service:実行レイヤーをプラットフォーム機能として提供
- Skillsマーケットとセキュリティ監査:エージェントのツールボックスを防御する
- アイデンティティ、権限、検証可能な実行:「このエージェントは一体誰なのか」を解決する
- 五、セキュリティ設計原則:事例から抽出された核となる推奨事項
- 原則一:エージェントは提案のみ行い、ルールシステムが許可を担当する
- 原則二:秘密鍵、資金、高権限資格情報はエージェントから遠ざける
- 原則三:すべてのオンチェーンアクションは読み取り可能、検証可能、追跡可能でなければならない
- 原則四:ツール、プラグイン、Skillsはサプライチェーン資産として管理する
- 原則五:支払いと実行を「境界のある自動化」として設計する
- 原則六:デフォルトで問題が発生することを前提に、監視、サーキットブレーカー、復旧を備える
- 六、結論:セキュリティ分野自体の産業機会
- 要点構成図
- 参考文献
一、はじめに:チェーン上のセキュリティ境界が再描画されている
2026年5月、ある攻撃者は秘密鍵を盗まず、コントラクトを攻撃せず、Bankrのサーバーに侵入することもなく、Grokにモールス信号を翻訳させました。Grokは「親切」を旨とするモデル目標に従って平文の送金指示を出力し、Bankrbotはその自然言語を実行可能な金融コマンドとして解釈し、NFTの権限を検証した後、署名してトランザクションをブロードキャストし、最終的にGrokに関連するウォレットから約15~20万ドルが流出しました。2週間後、攻撃者は同じエージェント信頼レイヤーの脆弱性を利用して攻撃範囲を拡大し、14のユーザーウォレットから44万ドル以上を流出させました [1]。このケースで最も価値がある点は、GrokにもBankrbotにも従来の意味でのバグがなかったことです。実際に機能しなかったのは、2つの自動化システム間の信頼境界線でした。それぞれが設計されたタスクを完了したものの、共同で誤った金融結果を生み出してしまったのです [1]。
これこそが、AIエージェント時代のオンチェーンセキュリティにおける転換点です。チェーン上のインタラクションフローは、「人間がウォレットをクリックする」から、「エージェントがまず意図を理解し、次にシステム内のツールを呼び出し、最後にウォレットや決済レイヤーを使用してトランザクションを実行する」へと変わりつつあります。CoboはAIウォレットを、人工知能を統合し、ブロックチェーン操作を自動化・最適化するオンチェーンウォレットと定義しています。市場状況に応じた自律的な取引実行、ネットワークの混雑状況分析によるガス代の最適化、複数のプロトコルにわたるDeFiポジションの管理、不正取引のリアルタイム検出、リスクパラメータに基づくポートフォリオのリバランスなどが可能です [2]。このような能力は、通常のペースでの取引や戦略の自動化には非常に有用ですが、高頻度取引、クロスプロトコル、クロスツール、自動決済のシナリオに入ると、セキュリティ問題はもはや秘密鍵の保管だけではなく、モデルが本当の意図を理解しているか、ツールが汚染されていないか、権限が広すぎないか、署名が検証可能かどうかなどに注意を払う必要があります [3]。
典型的なエージェントシステムは、ユーザーインタラクションレイヤー、アプリケーションロジックレイヤー、モデルレイヤー、ツール呼び出しレイヤー、記憶システム、および基礎となる実行環境を含みます。攻撃者は多くの場合、これらのモジュールの1つだけを攻撃するのではなく、コンテキスト、記憶、ツール、権限、実行経路に沿って段階的にエージェントの行動制御権に影響を与えます [4]。
ただし、AIエージェント時代はWeb3の古いリスクを消し去ったわけではありません。秘密鍵、署名、承認、フィッシング、オラクル、スマートコントラクトの脆弱性は依然として存在します。真に新しく変わった点は、実行チェーンが長くなったことです。以前は「人間がウェブページを見て、ウォレットをクリックし、トランザクションに署名する」という流れでしたが、現在は「人間が目標を与え、AIがコンテキストを読み、MCPツールを呼び出し、OAuth権限を使用し、x402支払いを開始し、サービスプロバイダーの検証と決済を待ち、最後に結果をチェーンに書き戻す」という可能性があります。チェーンが長ければ長いほど、途中で誤解、汚染、なりすまし、悪用される可能性のあるポイントが増え、リスクは単一ポイントの脆弱性からクロスレイヤーの結合へと拡大します。
したがって、オンチェーンセキュリティの主戦場は、従来の「秘密鍵のセキュリティ+スマートコントラクトの脆弱性+フロントエンドフィッシング」から、5つのレイヤーにわたる複合的な攻撃面へと拡大しています。すなわち、モデル目標とプロンプト、記憶と知識検索、ツールとMCP/Skillサプライチェーン、ウォレットと決済承認、オンチェーン実行とガバナンスです。特にAIエージェントがWeb3 DeFiに参入すると、リスク露出の核心は必ずしもモデル自体から来るのではなく、既存の承認システムが依然として人間がトランザクションを確認するという古い前提に基づいていることにあります。従来のウォレットは、画面の前に立ち止まり、ためらい、再判断する人間がいることをデフォルトとしていましたが、エージェントが権限を取得すると、タスク目標に従って連続的に実行します。そのため、もともと人間のインタラクション用に設計されたウォレットの承認メカニズムは、自動化された実行シナリオにおいて、システムリスクとして急速に増幅されることになります。[5] 同時に、エージェントのセキュリティ評価は、ステートレスなLLMの評価方法を踏襲することはできません。なぜなら、マルチステップのツール呼び出し、状態記憶、永続的な権限は、従来のスキャナーでは捕捉が難しい新たな脆弱性の組み合わせを生み出すからです。したがって、AIエージェント時代のオンチェーンセキュリティは、「鍵を保護する」ことから「意図を保護し、実行を制約する」ことへとアップグレードされなければなりません。
二、役割の置き換え:AIはチェーン上のどのような「人間」を代替しているのか?
コンプライアンスに関する注意:以下の内容は、AIエージェントがオンチェーン取引において果たしうる役割とその特性を客観的に分析したものに過ぎず、いかなる提案や勧誘を構成するものではありません。また、トークンの発行や投資への参加は、国や地域によって異なる厳格な法規制の対象となります。特に中国本土では、トークンの発行は「有価証券の無許可発行」行為に該当する可能性があり、トークン取引のマッチングなどの暗号資産取引関連行為も「違法金融活動」とみなされます(中国本土の読者は、『中国本土におけるブロックチェーン及び仮想通貨関連法律法規の整理と重要ポイント』を一読されることを強くお勧めします)。そのため、本情報をもとにした意思決定は行わないでください。また


