SlowMist × Bitget AI セキュリティレポート:お金を「ロブスター」などのAIエージェントに渡すのは本当に安全ですか?
SlowMistはBitgetと提携し、AIエージェント取引安全報告を発表しました:プロンプトインジェクションやプラグイン毒性などの新たな脅威を明らかにし、「最小権限API、サブアカウントの隔離、人間と機械の確認署名」を通じてWeb3自動取引の安全ラインを構築することを提唱しています。一、背景
大規模モデル技術の急速な発展に伴い、AIエージェントは単純なインテリジェントアシスタントから、自主的にタスクを実行できる自動化システムへと徐々に進化しています。Web3エコシステムにおいて、この変化は特に顕著です。ますます多くのユーザーがAIエージェントを市場分析、戦略生成、自動取引に参加させることを試みており、「24時間自動運転の取引アシスタント」という概念が現実に近づいています。バイナンスとOKXが複数のAIスキルを発表し、BitgetがスキルリソースサイトAgent Hubとインストール不要のロブスターGetClawを発表したことで、エージェントは取引プラットフォームのAPI、オンチェーンデータ、市場分析ツールに直接接続できるようになり、一定の範囲で本来人間が行うべき取引の意思決定と実行を担うことができるようになりました。
従来の自動化スクリプトと比較して、AIエージェントはより強力な自主的意思決定能力とより複雑なシステムインタラクション能力を備えています。彼らは市場データに接続し、取引APIを呼び出し、アカウント資産を管理し、さらにはプラグインやスキルを通じて機能エコシステムを拡張することができます。この能力の向上により、自動化取引の使用の敷居が大幅に下がり、より多くの一般ユーザーが自動化取引ツールに触れ、使用するようになりました。
しかし、能力の拡張は攻撃面の拡大も意味します。
従来の取引シーンでは、安全リスクは通常アカウントの資格情報、APIキーの漏洩、フィッシング攻撃などに集中しています。しかし、AIエージェントアーキテクチャでは、新たなリスクが出現しています。例えば、プロンプトインジェクションはエージェントの意思決定ロジックに影響を与える可能性があり、悪意のあるプラグインやスキルが新たなサプライチェーン攻撃の入り口となる可能性があります。実行環境の設定が不適切であると、機密データやAPI権限が悪用される可能性もあります。これらの問題が自動化取引システムと結びつくと、潜在的な影響は情報漏洩にとどまらず、実際の資産損失を直接引き起こす可能性があります。
同時に、ますます多くのユーザーがAIエージェントを取引アカウントに接続し始める中で、攻撃者もこの変化に迅速に適応しています。エージェントユーザーを狙った新しい詐欺モデル、悪意のあるプラグインの毒性付与、APIキーの悪用などの問題が、新たな安全脅威として徐々に浮上しています。Web3シーンでは、資産操作はしばしば高い価値と不可逆性を持ち、自動化システムが悪用または誤導されると、リスクの影響がさらに拡大する可能性があります。
これらの背景を踏まえ、SlowMistとBitgetは本報告書を共同で作成し、安全研究と取引プラットフォームの実践の2つの視点から、AIエージェントのさまざまなシーンにおける安全問題を体系的に整理しました。本報告書がユーザー、開発者、プラットフォームに対して安全な参考を提供し、AIエージェントエコシステムが安全と革新の間でより堅実な発展を実現する手助けとなることを願っています。
二、AIエージェントの真の安全脅威 |SlowMist
AIエージェントの登場により、ソフトウェアシステムは「人間主導の操作」から「モデルによる意思決定と実行」へと徐々に移行しています。このアーキテクチャの変化は自動化能力を大幅に向上させましたが、同時に攻撃面も拡大しました。現在の技術構造から見ると、典型的なAIエージェントシステムは通常、ユーザーインタラクション層、アプリケーションロジック層、モデル層、ツール呼び出し層(Tools / Skills)、メモリシステム(Memory)、および基盤となる実行環境など、複数のコンポーネントを含んでいます。攻撃者は通常、単一のモジュールだけをターゲットにするのではなく、複数の層を通じてエージェントの行動制御権に影響を与えようとします。
1. 入力操作とプロンプトインジェクション攻撃
AIエージェントアーキテクチャでは、ユーザーの入力や外部データが通常モデルのコンテキストに直接組み込まれるため、プロンプトインジェクションが重要な攻撃手段となります。攻撃者は特定の指示を構築することで、エージェントに本来トリガーされるべきでない操作を実行させることができます。例えば、特定のケースでは、チャット指示を通じてエージェントに危険なシステムコマンドを生成し実行させることができます。
より複雑な攻撃手法は間接的な注入であり、攻撃者が悪意のある指示をウェブページの内容、ドキュメントの説明、またはコードのコメントに隠すことです。エージェントがタスクを実行する過程でこれらの内容を読み取ると、合法的な指示と誤認する可能性があります。例えば、プラグインのドキュメント、READMEファイル、またはMarkdownファイルに悪意のあるコマンドを埋め込むことで、エージェントが環境を初期化したり依存関係をインストールする際に攻撃コードを実行させる可能性があります。
この攻撃パターンの特徴は、従来の脆弱性に依存せず、モデルがコンテキスト情報を信頼するメカニズムを利用してその行動ロジックに影響を与えることです。
2. スキル/プラグインエコシステムのサプライチェーン毒性付与
現在のAIエージェントエコシステムにおいて、プラグインとスキルシステム(Skills / MCP / Tools)はエージェントの能力を拡張する重要な手段です。しかし、このようなプラグインエコシステムも新たなサプライチェーン攻撃の入り口となっています。
SlowMistはOpenClaw公式プラグインセンターClawHubの監視を通じて、開発者の数が増えるにつれて、一部の悪意のあるスキルが混入し始めていることを発見しました。SlowMistは400以上の悪意のあるスキルのIOCを統合分析した結果、多くのサンプルが少数の固定ドメインまたは同一IPの下の複数のランダムパスを指し示し、明らかなリソース再利用の特徴を示しています。これは、グループ化された大量攻撃行動に似ています。
OpenClawのスキル体系において、コアファイルは通常SKILL.mdです。従来のコードとは異なり、このようなMarkdownファイルは「インストール手順」と「初期化エントリ」の役割を担うことが多いですが、エージェントエコシステムでは、ユーザーが直接コピーして実行することが多く、完全な実行チェーンを形成します。攻撃者は悪意のあるコマンドを依存関係のインストール手順に偽装するだけで済みます。例えば、curl | bashやBase64エンコードを使用して真の指示を隠すことで、ユーザーに悪意のあるスクリプトを実行させることができます。
実際のサンプルでは、一部のスキルが典型的な「二段階読み込み」戦略を採用しています。第一段階のスクリプトは、第二段階のペイロードをダウンロードして実行するだけの役割を果たし、静的検出の成功率を低下させます。ダウンロード数が多い「X (Twitter) Trends」スキルの例では、そのSKILL.mdに隠されたBase64エンコードされたコマンドが含まれています。
デコード後、その本質はリモートスクリプトをダウンロードして実行することです。
第二段階のプログラムは、システムポップアップを偽装してユーザーのパスワードを取得し、システムの一時ディレクトリにローカル情報、デスクトップドキュメント、およびダウンロードディレクトリ内のファイルを収集し、最終的に攻撃者が制御するサーバーにパッケージ化してアップロードします。
この攻撃手法の核心的な利点は、スキルの外殻自体が比較的安定しているため、攻撃者はリモートペイロードを変更するだけで攻撃ロジックを持続的に更新できることです。
3. エージェントの意思決定とタスク編成層のリスク
AIエージェントのアプリケーションロジック層では、タスクは通常モデルによって複数の実行ステップに分解されます。攻撃者がこの分解プロセスに影響を与えることができれば、エージェントが合法的なタスクを実行する際に異常な行動を引き起こす可能性があります。
例えば、複数のステップ操作を含むビジネスプロセス(自動化デプロイやオンチェーン取引など)では、攻撃者が重要なパラメータを改ざんしたり、ロジック判断を妨害することで、エージェントがプロセスを実行する際にターゲットアドレスを置き換えたり、追加の操作を実行させることができます。
SlowMistの以前のセキュリティ監査ケースでは、MCPに悪意のあるプロンプトを返すことでコンテキストを汚染し、エージェントにウォレットプラグインを呼び出してオンチェーン送金を実行させることに成功しました。
この種の攻撃の特徴は、エラーがモデル生成コードからではなく、タスク編成ロジックが改ざんされたことから生じることです。
4. IDE / CLI環境におけるプライバシーと機密情報の漏洩
AIエージェントが開発支援や自動運用に広く使用されるようになると、多くのエージェントがIDE、CLI、またはローカル開発環境で実行され始めます。このような環境には通常、多くの機密情報が含まれています。例えば、.env設定ファイル、APIトークン、クラウドサービスの資格情報、秘密鍵ファイル、およびさまざまなアクセスキーです。エージェントがタスク実行中にこれらのディレクトリやインデックスプロジェクトファイルを読み取ることができると、意図せずに機密情報がモデルのコンテキストに組み込まれる可能性があります。
自動化開発プロセスの一部では、エージェントがデバッグ、ログ分析、または依存関係のインストール中にプロジェクトディレクトリ内の設定ファイルを読み取ることがあります。明確な無視ポリシーやアクセス制御が欠如している場合、これらの情報がログに記録されたり、リモートモデルAPIに送信されたり、悪意のあるプラグインによって外部に送信されたりする可能性があります。
さらに、一部の開発ツールはエージェントがコードリポジトリを自動的にスキャンしてコンテキストメモリを構築することを許可します。これにより、機密データの露出範囲が拡大する可能性があります。例えば、秘密鍵ファイル、ニーモニックバックアップ、データベース接続文字列、またはサードパーティAPIトークンなどが、インデックスプロセス中に読み取られる可能性があります。
Web3開発環境では、この問題が特に顕著です。なぜなら、開発者はしばしばローカル環境にテスト用の秘密鍵、RPCトークン、またはデプロイスクリプトを保存するからです。これらの情報が悪意のあるスキル、プラグイン、またはリモートスクリプトによって取得されると、攻撃者はさらに開発者のアカウントやデプロイ環境を制御する可能性があります。
したがって、AIエージェントとIDE / CLIが統合されるシーンでは、明確な機密ディレクトリ無視ポリシー(.agentignore、.gitignoreなどのメカニズム)と権限分離措置を確立することが、データ漏洩リスクを低減するための重要な前提です。
5. モデル層の不確実性と自動化リスク
AIモデル自体は完全に決定論的なシステムではなく、その出力には一定の確率で不安定性が存在します。いわゆる「モデルの幻覚」とは、モデルが情報が不足している場合に、見かけ上合理的だが実際には誤った結果を生成することを指します。従来のアプリケーションシーンでは、この種のエラーは通常情報の質にのみ影響しますが、AIエージェントアーキテクチャでは、モデルの出力が直接システム操作を引き起こす可能性があります。
例えば、あるケースでは、モデルがプロジェクトをデプロイする際に実際のパラメータを照会せず、誤ったIDを生成してデプロイプロセスを続行しました。このような状況がオンチェーン取引や資産操作のシーンで発生した場合、誤った意思決定が不可逆的な資金損失を引き起こす可能性があります。
6. Web3シーンにおける高価値操作リスク
従来のソフトウェアシステムとは異なり、Web3環境における多くの操作は不可逆性を持っています。例えば、オンチェーン送金、トークンスワップ、流動性追加、スマートコントラクトの呼び出しなど、一度取引が署名されネットワークにブロードキャストされると、通常は取り消したりロールバックしたりすることが難しいです。したがって、AIエージェントがオンチェーン操作を実行するために使用されると、その安全リスクもさらに拡大します。
いくつかの実験的プロジェクトでは、開発者はエージェントを直接オンチェーン取引戦略の実行に参加させることを試み始めています。例えば、自動化アービトラージ、資金管理、またはDeFi操作などです。しかし、エージェントがタスクの分解やパラメータ生成プロセスでプロンプトインジェクション、コンテキスト汚染、またはプラグイン攻撃の影響を受けると、取引中にターゲットアドレスを置き換えたり、取引金額を変更したり、悪意のあるコントラクトを呼び出したりする可能性があります。さらに、一部のエージェントフレームワークはプラグインがウォレットAPIや署名インターフェースに直接アクセスすることを許可します。署名の隔離や人工確認メカニズムが欠如している場合、攻撃者は悪意のあるスキルを通じて自動取引を引き起こす可能性すらあります。
したがって、Web3シーンにおいてAIエージェントを資産管理システムに完全に結びつけることは高リスクな設計です。より安全なモデルは、エージェントが取引提案や未署名の取引データを生成することだけを担当し、実際の署名プロセスは独立したウォレットまたは人工確認によって行われるべきです。同時に、アドレスの信用検査、AMLリスク管理、取引シミュレーションなどのメカニズムを組み合わせることで、自動化取引によるリスクを一定程度低減することができます。
7. 高権限実行によるシステムレベルのリスク
多くのAIエージェントは実際のデプロイメントにおいて高いシステム権限を持っています。例えば、ローカルファイルシステムへのアクセス、シェルコマンドの実行、さらにはルート権限での実行などです。一度エージェントの行動が操作されると、その影響範囲は単一のアプリケーションを超える可能性があります。
SlowMistはOpenClawをTelegramなどのインスタントメッセージングソフトウェアと結びつけてリモートコントロールを実現するテストを行ったことがあります。もし制御チャネルが攻撃者に奪われた場合、エージェントは任意のシステムコマンドを実行したり、ブラウザデータを読み取ったり、ローカルファイルにアクセスしたり、他のアプリケーションを制御したりするために使用される可能性があります。プラグインエコシステムとツール呼び出し能力を組み合わせることで、このようなエージェントはある程度「インテリジェントなリモートコントロール」の特性を持つようになっています。
総じて、AIエージェントの安全脅威はもはや従来のソフトウェアの脆弱性に限らず、モデルインタラクション層、プラグインサプライチェーン、実行環境、資産操作層など、複数の次元を横断しています。攻撃者はプロンプトを通じてエージェントの行動を操作することも、悪意のあるスキルや依存パッケージをサプライチェーン層に植え込むこともでき、高権限の実行環境で攻撃の影響を拡大することもできます。Web3シーンでは、オンチェーン操作が不可逆であり、実際の資産価値が関与しているため、これらのリスクはさらに拡大することがよくあります。したがって、AIエージェントの設計と使用において、従来のアプリケーションセキュリティ戦略に依存するだけでは新たな攻撃面を完全にカバーすることは難しく、権限管理、サプライチェーンガバナンス、取引セキュリティメカニズムなどの面でより体系的なセキュリティ防護システムを構築する必要があります。
三、AIエージェント取引セキュリティ実践|Bitget
AIエージェントの能力が向上するにつれて、彼らはもはや情報を提供したり意思決定を支援したりするだけでなく、システム操作に直接参加し、さらにはオンチェーン取引を実行するようになっています。暗号取引シーンにおいて、この変化は特に顕著です。ますます多くのユーザーがAIエージェントを市場分析、戦略実行、自動取引に参加させることを試みています。エージェントが取引インターフェースを直接呼び出し、アカウント資産にアクセスし、自動的に注文を出すことができるようになると、その安全問題は「システム安全リスク」から「実際の資産リスク」へとさらに変化します。AIエージェントが実際の取引に使用される場合、ユーザーはどのように自分のアカウントと資金の安全を守るべきでしょうか?
これを踏まえ、本小節ではBitgetの安全チームが取引プラットフォームの実践経験を基に、アカウントの安全、API権限管理、資金隔離、取引監視などの複数の視点から、AIエージェントを使用して自動化取引を行う際に重点的に注意すべき安全戦略を体系的に紹介します。
1. AIエージェント取引シーンにおける主要な安全リスク
2. アカウントの安全
AIエージェントの登場により、攻撃経路が変わりました:
アカウントにログインする必要はない------APIキーを取得するだけで済む
あなたが気づく必要はない------エージェントは24時間自動運転し、異常操作は数日間続く可能性がある
出金する必要はない------プラットフォーム内で取引を行い、資産を失うことも攻撃の対象となる
APIキーの作成、変更、削除はすべてログイン済みのアカウントを通じて行う必要があります------アカウントが制御されることは、キー管理権が制御されることを意味します。アカウントの安全レベルは、APIキーの安全上限を直接決定します。
あなたがすべきこと:
SMS(SIMカードがハッキングされる可能性がある)ではなく、主要な2FAとしてGoogle Authenticatorを有効にする
FIDO2/WebAuthn標準に基づくパスキーによるパスワードレスログインを有効にする:公開鍵と秘密鍵の暗号化が従来のパスワードに取って代わり、フィッシング攻撃がアーキテクチャレベルで無効化される
フィッシングコードを設定する
定期的にデバイス管理センターを確認し、不審なデバイスを発見したら直ちに排除し、パスワードを変更する
3. APIの安全
AIエージェントの自動取引アーキテクチャにおいて、APIキーはエージェントの「実行権限証明書」に相当します。エージェント自体はアカウントの制御権を直接持っておらず、実行できるすべての操作はAPIキーに付与された権限範囲に依存します。したがって、API権限の境界はエージェントが何をできるかを決定するだけでなく、安全事件が発生した場合の損失が拡大する可能性の程度も決定します。
権限設定マトリックス------最小権限、便利な権限ではない:
多くの取引プラットフォームでは、APIキーは通常、さまざまな安全制御メカニズムをサポートしており、これらのメカニズムを適切に使用することで、APIキーの悪用リスクを大幅に低下させることができます。一般的な安全設定の推奨には以下が含まれます:
ユーザーがよく犯す間違い:
メインアカウントのAPIキーをエージェント設定に直接貼り付ける------メインアカウントの全権限が完全に露出する
ビジネスタイプで「全選択」をクリックして便利さを追求し、実際にはすべての操作範囲を開放してしまう
パスフレーズを設定していない、またはパスフレーズがアカウントパスワードと同じである
APIキーをコードにハードコーディングし、GitHubにプッシュした後、クローラーに3分以内にスキャンされる
1つのキーを複数のエージェントやツールに同時に許可し、いずれかが侵害されると全面的に露出する
キーが漏洩した後、すぐに取り消さず、攻撃者が持続的に利用するウィンドウを残す
キーのライフサイクル管理:
90日ごとにAPIキーをローテーションし、古いキーは直ちに削除する
エージェントを無効にする際には、直ちに対応するキーを削除し、残余の攻撃面を残さない
定期的にAPI呼び出し記録を確認し、不審なIPや異常な時間帯を発見したら直ちに取り消す
4. 資金の安全
攻撃者がAPIキーを取得した後にどれだけの損失を引き起こすかは、そのキーがどれだけの資金を動かせるかに依存します。したがって、AIエージェントの取引アーキテクチャを設計する際には、アカウントの安全とAPI権限管理に加えて、資金隔離メカニズムを通じて潜在的なリスクに対して明確な損失上限を設定する必要があります。
サブアカウント隔離メカニズム:
エージェント専用のサブアカウントを作成し、メインアカウントと完全に分離する
メインアカウントはエージェントが実際に必要とする資金のみを振り分け、すべての資産を振り分けない
サブアカウントのキーが盗まれた場合でも、攻撃者が動かせる最大金額は=サブアカウント内の資金であり、メインアカウントには影響を与えない
複数のエージェント戦略を複数のサブアカウントでそれぞれ管理し、相互に隔離する
資金パスワードを第二のロックとして:
資金パスワード(Fund Password)とログインパスワードを完全に分離する。アカウントがログインされても、資金パスワードがなければ出金を開始できない
資金パスワードとログインパスワードを異なるパスワードに設定する
出金ホワイトリストを有効にする:事前に追加されたアドレスのみが出金でき、新しいアドレスには24時間の審査期間が必要
資金パスワードを変更した後、システムは自動的に出金を24時間凍結する------これはあなたを保護するメカニズムです
5. 取引の安全
AIエージェントの自動取引シーンでは、安全問題は通常、一時的な異常行動として現れるのではなく、システムが継続的に運用される過程で徐々に発生する可能性があります。したがって、アカウントの安全とAPI権限管理に加えて、継続的な取引監視と異常検出メカニズムを確立し、問題が発生した初期段階で迅速に発見し介入する必要があります。
必ず確立すべき監視システム:
異常信号の識別------以下の状況が発生した場合は直ちに停止し、確認する:
エージェントが長時間操作していないが、アカウントに新しい注文やポジションがある
API呼び出しログにエージェントサーバー以外のIPからのリクエストがある
設定したことのない取引ペアの取引通知を受け取った
アカウント残高に説明できない変動がある
エージェントが「実行するためにより多くの権限が必要です」と繰り返し提示する------まずその理由を確認し、その後に権限を付与するかどうかを決定する
スキルとツールの出所管理:
公式にリリースされ、審査されたチャネルから提供されたスキルのみをインストールする
出所不明または未検証のサードパーティ拡張のインストールを避ける
定期的にインストールされたスキルのリストを確認し、使用しなくなったものを削除する
コミュニティの「強化版」や「翻訳版」スキルに警戒する------非公式なバージョンはすべてリスクを伴う
6. データの安全
AIエージェントの意思決定は大量のデータ(アカウント情報、ポジション、取引履歴、市場、戦略パラメータ)に依存しています。これらのデータが漏洩または改ざんされると、攻撃者はあなたの戦略を推測したり、取引行動を操作したりする可能性があります。
あなたがすべきこと:
最小データ原則:取引を実行するために必要なデータのみをエージェントに提供する
機密データのデータマスキング:ログやデバッグ情報がエージェントに完全なアカウント情報やAPIキーなどの機密データを出力させないようにする
完全なアカウントデータを公共のAIモデル(公共のLLM APIなど)にアップロードすることを禁止する
可能であれば、戦略データとアカウントデータを分離する
エージェントが過去の取引データをエクスポートすることを無効にするか制限する
ユーザーがよく犯す間違い:
完全な取引履歴をAIに「戦略を最適化してもらう」としてアップロードする
エージェントのログにAPIキー/シークレットを印刷する
公開フォーラムに取引記録のスクリーンショットを貼り付ける(注文ID、アカウント情報を含む)
データベースバックアップをAIツールにアップロードして分析を行う
7. AIエージェントプラットフォーム層の安全設計
ユーザー側の安全設定に加えて、AIエージェント取引エコシステムの安全性は、プラットフォーム層の安全設計にも大きく依存しています。成熟したエージェントプラットフォームは通常、アカウントの隔離、API権限管理、プラグインの審査、基礎的な安全能力などの面で体系的な防護メカニズムを構築し、ユーザーが自動化取引システムに接続する際に直面する全体的なリスクを低減する必要があります。
実際のプラットフォームアーキテクチャでは、一般的な安全設計には以下のような側面が含まれます。
1、サブアカウント隔離システム
自動化取引環境では、プラットフォームは通常、異なる自動化システムの資金と権限を隔離するためにサブアカウントまたは戦略アカウントシステムを提供します。この方法により、ユーザーは各エージェントまたは取引戦略に独立したアカウントと資金プールを割り当てることができ、複数の自動化システムが同一アカウントを共有することによるリスクを回避できます。
2、細粒度API権限設定
AIエージェントのコア操作はAPIインターフェースに依存しているため、プラットフォームはAPI権限設計において通常、細粒度の制御をサポートする必要があります。例えば、取引権限の区分、IP出所の制限、追加の安全検証メカニズムなどです。この権限モデルにより、ユーザーはエージェントにタスクを完了するために必要な最小限の権限範囲のみを付与できます。
3、エージェントプラグインとスキルの審査メカニズム
一部のプラットフォームは、プラグインやスキルの公開および上場プロセスに審査メカニズムを設定しています。例えば、コード審査、権限評価、安全テストなどを行い、悪意のあるコンポーネントがエコシステムに入る可能性を減少させます。安全の観点から見ると、このような審査メカニズムはプラグインサプライチェーンにプラットフォームレベルのフィルタリングを追加することに相当しますが、ユーザーはインストールした拡張コンポーネントに対して基本的な安全意識を持ち続ける必要があります。
4、プラットフォームの基礎的な安全能力
エージェント関連の安全メカニズムに加えて、取引プラットフォーム自体のアカウント安全システムもエージェントユーザーに重要な影響を与えます。例えば:
8. エージェントユーザーを狙った新型詐欺
偽のカスタマーサポート
「あなたのAPIキーには安全リスクがあります。直ちに再設定してください。」そしてフィッシングリンクを提供します。
→ 公式はAPIキーを要求するためにプライベートメッセージを送信しません。
毒性付与スキルパッケージ
コミュニティが共有する「強化版取引スキル」が、実行中に静かにあなたのキーを送信します。
→ 公式審査チャネルからのスキルのみをインストールしてください。
偽のアップグレード通知
「再度認証が必要です」、クリックすると偽のページに飛びます。
→ メールのフィッシングコードを確認してください。
プロンプトインジェクション攻撃
市場データ、ニュース、K線の注釈に指示を埋め込み、エージェントに予期しない操作を実行させます。
→ サブアカウントの資金上限を設定し、注入されても損失に硬い境界を設けます。
「安全検査ツール」と偽装した悪意のあるスクリプト
あなたのキーが漏洩しているかどうかを検出できると主張し、実際にはキーを盗みます。
→ 公式プラットフォームが提供するログやアクセス記録機能を使用してAPI呼び出しの状況を確認してください。
9. 調査パス
異常を発見した場合
↓
疑わしいAPIキーを直ちに取り消すまたは無効にする
↓
アカウントの異常な注文/ポジションを確認し、撤回できるものは直ちに撤回する
↓
出金記録を確認し、資金が転送されていないか確認する
↓
ログインパスワードと資金パスワードを変更し、すべてのログインデバイスを排除する
↓
プラットフォームの安全サポートに連絡し、異常な時間帯と操作記録を提供する
↓
キー漏洩のパスを調査する(コードベース/設定ファイル/スキルログ)
核心原則:何か疑わしいことがあれば、まずキーを撤回し、その後原因を調査する。順序を逆にしてはいけません。
四、提言とまとめ
本報告書では、SlowMistとBitgetが実際のケースと安全研究を組み合わせ、現在のAIエージェントがWeb3シーンで直面している典型的な安全問題を分析しました。これには、プロンプトインジェクションによるエージェントの行動操作リスク、プラグインとスキルエコシステムにおけるサプライチェーンリスク、APIキーとアカウント権限の悪用問題、そして自動化実行による誤操作と権限拡大などの潜在的脅威が含まれます。これらの問題は通常、単一の脆弱性によって引き起こされるのではなく、エージェントアーキテクチャの設計、権限管理戦略、実行環境の安全性が相互に作用した結果です。
したがって、AIエージェントシステムを構築または使用する際には、全体的なアーキテクチャレベルでの安全設計を行うべきです。例えば、最小権限の原則に従ってエージェントにAPIキーとアカウント権限を割り当て、不必要な高リスク機能を開放しないようにします。また、ツール呼び出し層でプラグインとスキルの権限を隔離し、単一のコンポーネントがデータ取得、意思決定生成、資金操作の能力を同時に持たないようにします。エージェントが重要な操作を実行する際には、明確な行動境界とパラメータ制限を設定し、必要なシーンでは人工確認メカニズムを追加して、自動化実行による不可逆的なリスクを低減します。同時に、エージェントの実行に依存する外部入力については、合理的なプロンプト設計と入力隔離メカニズムを通じてプロンプトインジェクション攻撃を防ぎ、外部の内容を直接システム指令としてモデル推論プロセスに参加させないようにします。実際のデプロイと運用段階では、APIキーとアカウントの安全管理を強化し、必要な権限のみを開放し、IPホワイトリストを設定し、定期的にキーをローテーションし、コードベース、設定ファイル、またはログシステムに機密情報を平文で保存しないようにします。開発プロセスと運用環境においては、プラグインの安全審査、ログの機密情報制御、行動監視と監査メカニズムなどの手段を通じて、設定漏洩、サプライチェーン攻撃、異常操作によるリスクを低減します。
よりマクロな安全アーキテクチャの観点から、SlowMistは関連研究においてAIとWeb3インテリジェントエージェントシーンに向けた多層安全ガバナンスの考え方を提案しました。これにより、階層的な防護システムを構築し、高権限環境におけるインテリジェントエージェントのリスクを体系的に低減します。このフレームワークでは、L1安全ガバナンスが統一された開発と使用の安全ベースラインを基盤として、開発ツール、エージェントフレームワーク、プラグインエコシステム、実行環境をカバーする安全規範を確立し、チームがAIツールチェーンを導入する際に統一された戦略の出所と監査基準を提供します。この基盤の上に、L2はエージェントの権限境界の収束、ツール呼び出しの最小権限制御、重要な行動の人間と機械の確認メカニズムを通じて、高リスク操作の実行範囲を効果的に制約します。同時に、L3は外部インタラクションの入口層にリアルタイムの脅威認識能力を導入し、URL、依存リポジトリ、プラグインの出所などの外部リソースを事前検査することで、悪意のあるコンテンツやサプライチェーンの毒性付与が実行チェーンに入る確率を低下させます。オンチェーン取引や資産操作のシーンに関しては、L4オンチェーンリスク分析と独立署名メカニズムを通じて追加の安全隔離を実現し、エージェントが取引を構築できるが秘密鍵に直接触れないようにし、高価値資産操作によるシステムリスクを減少させます。最終的に、L5は継続的な巡回、ログ監査、定期的な安全レビューなどの運用メカニズムを通じて、「実行前に事前検査、実行中に制約、実行後に振り返り」の閉ループ安全能力を形成します。このような階層的な安全思考は単一の製品やツールではなく、AIツールチェーンとインテリジェントエコシステムに向けた安全ガバナンスフレームワークであり、その核心的な目標は、開発効率や自動化能力を著しく低下させることなく、体系的な戦略、継続的な監査、安全能力の連携を通じて、チームが持続可能で監査可能かつ進化可能なエージェント安全運用システムを構築し、AIとWeb3の深い融合の背景における変化する安全課題により良く対処することです。
総じて、AIエージェントはWeb3エコシステムにより高い自動化とインテリジェンス能力をもたらしましたが、その安全上の課題も無視できません。システム設計、権限管理、運用監視などの複数のレベルで適切な安全メカニズムを構築することで、AIエージェント技術の革新を推進しつつ、潜在的なリスクを効果的に低減することができます。本報告書が開発者、プラットフォーム、ユーザーがAIエージェントシステムを構築し使用する際の参考となり、技術の発展を促進しつつ、より安全で信頼できるWeb3エコシステムの形成を共に推進できることを願っています。
附
拡張リソース
認知レベルからインフラレベルまでのエンドツーエンドのエージェント安全デプロイメントマニュアルであり、高権限AIエージェントの実際の生産環境における安全実践とデプロイメントの提案を体系的に整理しています。
https://github.com/slowmist/openclaw-security-practice-guide
体系的な安全チェックリストであり、エージェントサービスの迅速な監査と強化に役立ち、チームがMCPs/Skillsおよび関連するAIツールチェーンをデプロイする際に重要な防御ポイントを見逃さないようにします。
https://github.com/slowmist/MCP-Security-Checklist
実際の攻撃シーンを再現し、防御システムの堅牢性をテストするためのオープンソースの悪意のあるMCPサーバーの例であり、安全研究と防御検証に使用できます。
https://github.com/slowmist/MasterMCP
AIエージェントに専門的な暗号通貨AMLコンプライアンスとアドレスリスク分析能力を提供するプラグイン可能なエージェントスキルパッケージであり、オンチェーンアドレスのリスク評価と取引前のリスク判断に使用できます。
https://github.com/slowmist/misttrack-skills
AIとWeb3インテリジェントエージェントに向けた総合的な安全ソリューションであり、「五層進行式デジタルバリケード」アーキテクチャとADSSガバナンスベースライン、MistEye、MistTrack、MistAgentなどの能力の協調を通じて、実行前の事前検査、実行中の制約、実行後の振り返りの安全な閉ループを実現します。
https://mp.weixin.qq.com/s/mWBwBANlD7UchU9SqDp_cQ
取引安全自己チェックリスト
接続前 · OpenClaw強化
接続前 · アカウントの安全
接続前 · スキルの安全
接続前 · APIキー設定
接続前 · 資金隔離
運用中 · 監視
停用/変更 · 清掃
✅ 上記のチェック項目がすべて完了した場合、AIエージェント自動取引システムの全体的な安全リスクは大幅に低下します。
リスク警告
