セキュリティ

『フォーチュン』誌の報道によると、Anthropic社が漏洩した文書は、その次世代超強ロボット「Claude Mythos」がテスト中であることを示しており、同社はこのロボットが「前例のないサイバーセキュリティリスクを構成する」と考えています。マスクはこれについて「非常に懸念される」と述べました。

Bitcoin Newsによると、Strategyは専用のビットコインセキュリティプログラムを発表し、取引所、カストディアン、資産管理会社、サービスプロバイダー、コア開発者を集めて、新たな脅威やセキュリティの脆弱性に対処し、業界のベストプラクティスを策定する予定です。同社はビットコインセキュリティディレクターを募集しており、この役職はプロトコル、暗号学、資産のカストディに関する社内の権威専門家として機能し、業界の重要な対外連絡先としても役割を果たします。この役職はStrategy社のビットコインセキュリティシステムを全面的に構築し、脅威モデリング、キー管理、マルチシグカストディソリューションの設計、ウォレットアーキテクチャをカバーし、機関レベルのリスク耐性と資産の回復能力に重点を置きます。

アナリストは、IoTeXの秘密鍵が漏洩した疑いがあり、資産損失は約430万ドルであると述べています。一方、IoTeXの公式は、チェーン上の攻撃による損失は約200万ドルであると報告しています。

暗号分析家 Cipher（@CipherResearchx）の統計によると、分散型金融（DeFi）分野では少なくとも15件のセキュリティ攻撃事件が発生し、累計損失額は1.37億ドルを超えています。各事件の損失額は以下の通りです：Step Finance 約2730万ドル、Truebit 約2620万ドル、Resolv 超2500万ドル、SwapNet 約1340万ドル、YieldBlox 約1097万ドル、SagaEVM 約700万ドル、Makina 約500万ドル、IoTeX 約440万ドル、Aperture Finance と Venus Protocol 各約370万ドル、CrossCurve 約280万ドル、Solv Protocol 約270万ドル、FOOMCASH 約230万ドル、Moonwell 約180万ドル、TMX 約140万ドル。

ネットワークセキュリティ会社 CUJO AI は、ネットワークサービスプロバイダー（NSP）向けに設計されたネットワーク層の暗号通貨投資詐欺検出機能を正式に発表しました。この機能は、アプリケーション層やプラットフォーム層の防護を回避する詐欺行為を識別することができます。CUJO AI は、現代の暗号通貨投資詐欺は通常、回転ドメイン、ウォレットの相互作用、社会工学的手法に依存しており、単一のプラットフォームでは全体像を把握することが難しいと述べています。ネットワーク層は、このような脅威が集中して現れる重要な位置です。Chainalysis のデータによれば、2025 年には世界で暗号通貨関連の詐欺や詐欺による損失が推定 170 億ドルに達する見込みで、被害者の大半は一般ユーザーであり、機関投資家ではありません。

AIネットワークセキュリティスタートアップRunSybilが4000万ドルの資金調達を完了しました。このラウンドはKhosla Venturesが主導し、S32、Anthropic傘下のAnthology Fund、Menlo Ventures、Conviction、Elad Gilが参加しています。エンジェル投資家にはNikesh Arora、Amit Agarwal、Jeff Deanなどが含まれ、OpenAI、Palo Alto Networks、Stripe、Googleの多くの創業者や幹部も参加しています。RunSybilはOpenAIの初代セキュリティ研究員Ari Herbert-Vossと元Meta攻撃的セキュリティレッドチームの責任者Vlad Ionescuによって2023年に共同設立されました。そのコア製品はAIエージェントSybilで、オンラインで動作するアプリケーションに対して継続的に自動的にペネトレーションテストを実行し、人工的な介入なしに実際のセキュリティ脆弱性を発見、利用、記録することができます。

OKXの創設者兼CEOのStarは、「武漢安隼科技チームによるプラグインの脆弱性を利用したハッキング事件」に関して発表し、「OKX Walletのセキュリティチームは調査を完了しました。原文で『OKXウォレットの脆弱性』と表現されているのは正確ではありません。以下の2点を明確にする必要があります：この事件はOKX Web3ウォレットのセキュリティ脆弱性ではありません。攻撃手法は、ハッカーがトロイの木馬ソフトウェアを通じてユーザーのデバイスを制御し、ウェブページのJSコードを改ざんしてhookを埋め込むか、キーボード入力を監視するなどの方法で、ローカルに保存された暗号ファイルやパスワードを盗むことです。OKX Web3ウォレットは100%自己管理型ウォレットです。秘密鍵とパスワードはユーザー自身のデバイスにのみ存在し、OKXはユーザーの資産にアクセスしたり制御したりすることはできません。しかし、ユーザーのデバイス自体がすでにハッカーに制御されている場合、MetaMaskを含むどのウォレットも安全を保証することはできません。これは、泥棒がすでにあなたのコンピュータを操作し、すべてのキーボード入力を見ているようなものです。ユーザーには、出所不明のソフトウェアやプラグインのインストールを避け、定期的にデバイスのセキュリティを確認し、リカバリーフレーズや秘密鍵を適切に保護することをお勧めします。」報道によると、武漢安隼科技チームは多数のユーザー端末を制御し、リカバリーフレーズを盗み、デジタル資産を遠隔で移転させ、関与した金額は700万ドルに達しています。

金十の報道によると、中国インターネット金融協会は、OpenClawのスマートデバイスが作業効率を向上させることができるが、そのデフォルトの高いシステム権限と弱いセキュリティ設定は、攻撃者に利用されやすく、機密データの盗難や不正な取引操作の突破口となる可能性があり、業界に厳しいリスクと課題をもたらすと警告しています。中国インターネット金融協会は、金融消費者に対して、オンラインバンキング、証券取引、支払いなどの個人金融業務を行う端末にOpenClawを慎重にインストールするように推奨しています。もしインストールが必要な場合は、金融サービス系システムの操作権限を付与せず、OpenClawの脆弱性修正を迅速にフォローし、機能プラグインのインストールを厳しく管理し、使用していないときに身分証番号、銀行カード番号、支払いパスワードなどの機密情報を入力しないようにしてください。また、このようなアプリケーションは実行中に大規模モデルのインターフェースを継続的に呼び出すため、比較的高いトークン費用が発生する可能性があるため、使用者は注意を払うことをお勧めします。

中国国家网络与信息安全信息通报中心监测数据显示，目前全球活跃的 OpenClaw 互联网资产已超 20 万个，其中境内活跃的 OpenClaw 互联网资产约 2.3 万个，呈现爆发式增长态势，主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的 OpenClaw 资产存在重大安全风险，极易成为网络攻击的重点目标。其中，智能体行为不可控，管控难度大。OpenClaw 智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，造成重大经济损失。

据 The Block 报道，Ledger 旗下安全研究团队 Donjon 发现 MediaTek 处理器安全启动链中的一个漏洞，攻击者可在物理接触手机的情况下，通过 USB 连接在操作系统加载前提取加密密钥，解密设备存储，从而在约 45 秒内获取设备 PIN 码及加密钱包助记词。概念验证测试中，该漏洞成功从 Trust Wallet、Kraken Wallet 和 Phantom 等钱包应用中提取了敏感数据。研究人员表示，该漏洞可能影响约 25% 的 Android 手机，涉及使用 MediaTek 芯片及 Trustonic 可信执行环境的机型。Ledger 首席技术官 Charles Guillemet 表示，智能手机从未被设计为保险库，该漏洞虽可通过补丁修复，但表明在非安全设备上存储密钥存在固有风险，建议用户尽快更新安全补丁。据 TRM Labs 数据，2025 年上半年被盗的 21 亿美元加密资产中，超过 80% 源于私钥盗窃、助记词窃取及前端劫持等基础设施攻击。Chainalysis 数据显示，2024 年全年加密资产盗窃损失超过 34.1 亿美元，个人钱包被盗占比从 2022 年的 7.3% 上升至 2024 年的 44%。

OpenClaw の創設者ピーター・スタインバーガーは、GitHub のセキュリティ脆弱性報告プロセスに多くの問題があると批判する投稿をしました。彼は、現在の脆弱性報告が管理者のみのアクセス権を持っているため、チーム内での効果的な配布と協力処理が難しいと指摘しました。さらに、GitHub の脆弱性報告に関しては API 機能が不足しており、自動化エージェントを通じてコメントを読み取ったり公開したりすることができないため、セキュリティ対応プロセスの自動化能力が制限されています。ピーター・スタインバーガーは、現在の脆弱性報告には大量の AI 生成の低品質なコンテンツが含まれており、選別に数時間を費やす必要があると特に指摘し、セキュリティ処理作業の負担がさらに増加していることを強調しました。

国家インターネット緊急センターは、OpenClawのセキュリティアプリケーションリスクに関する警告を発表しました。前期、OpenClawのインテリジェントボディの不適切なインストールと使用により、いくつかの深刻なセキュリティリスクが発生しました。関連する機関や個人ユーザーは、OpenClawを展開および使用する際に、以下のセキュリティ対策を講じることをお勧めします：ネットワーク制御を強化し、OpenClawのデフォルト管理ポートを直接インターネットに公開しないようにし、認証、アクセス制御などのセキュリティ管理措置を通じてサービスへのアクセスを安全に管理します。実行環境を厳格に隔離し、コンテナなどの技術を使用してOpenClawの権限が過剰になる問題を制限します；認証情報の管理を強化し、環境変数に平文でキーを保存しないようにします；完全な操作ログ監査メカニズムを確立します；プラグインの出所を厳格に管理し、自動更新機能を無効にし、信頼できるチャネルから署名検証された拡張機能のみをインストールします；パッチとセキュリティ更新に継続的に注意を払い、適時にバージョン更新とセキュリティパッチのインストールを行います。

Cosmos Labs は X プラットフォームで発表し、最近、Cosmos EVM Stack に基づいて構築されたブロックチェーンの一部に影響を与える脆弱性を発見したと述べています。この脆弱性は、プロダクション環境で Layer 1 ブロックチェーン Saga に影響を与えています。Cosmos Labs は、チームが Saga およびエコシステムパートナーと共にこの問題を調査し、緩和策を実施する調整を行ったと述べており、現在、影響を受けたブロックチェーンに対してセキュリティパッチをリリースしています。

据财联社报道，OpenAI は人工知能セキュリティプラットフォーム Promptfoo を買収することを発表しました。このプラットフォームは、企業が開発プロセスで人工知能システムの脆弱性を特定し修正するのを支援します。買収が完了した後、OpenAI は Promptfoo の技術を直接 OpenAI Frontier プラットフォームに統合します。

慢雾の創業者余弦は X プラットフォームで次のように発表しました：「OpenClaw の安定性や堅牢性を信頼していないが、Claude Code には安心している。これはソフトウェア工学の核心目標の一つです。セキュリティに関しては、両社ともにセキュリティへの重視が非常に高く、提出された脆弱性には迅速なフィードバックが得られています。特定の OpenClaw のフォークや参考バージョンは、セキュリティへの積極性が大きく欠けています。セキュリティのシナリオにおいて、OpenClaw はサンドボックス機構を持っており、ツールの権限に関してもより細かい設計を試みていますが、その名の通り「OpenClaw」、オープンさが最大の魅力です。束縛された OpenClaw は OpenClaw ではありません。自由でありながら制御可能であることを望むのは、皆が悩むポイントですが、実際の生産環境では、過度に自由な OpenClaw は制御を失いやすいです。」

ある Alibaba に関連する研究チームが論文を発表し、ROME と呼ばれる AI エージェントを構築する際に、そのエージェントがトレーニングプロセス中に無断で暗号通貨のマイニングを試み、内部のセキュリティ警報を引き起こしたことを発見したと述べています。研究者たちは、このエージェントの行動は自発的に発生したものであり、明示的な指示に基づいておらず、事前に設定されたサンドボックスの境界を超えているとしています。さらに、このエージェントは逆 SSH トンネルを構築し、システム内部から外部コンピュータに隠れたバックドア通路を開設しました。論文では、これらの行動はトンネルやマイニングのリクエストによって引き起こされたものではないと指摘しています。研究チームはその後、モデルに対してより厳しい制限を課し、同様の不安全な行動が再発しないようにトレーニングプロセスを改善しました。この研究チームと Alibaba は、コメントのリクエストにはまだ応じていません。

公式な情報によると、Binanceは2025年12月のFlowネットワークのセキュリティ事件に関する解決説明を発表しました。2025年12月27日、外部の攻撃者がFlowネットワーク内のセキュリティ脆弱性を利用しました。その後、BinanceはFlow財団と協力し、影響範囲を迅速に制御し、事件を深く調査し、ユーザーの安全を確保するための措置を講じました。BinanceとFlow財団は、2025年12月のセキュリティ事件に関連するすべての問題を成功裏に解決しました。Binanceは、すべての影響を受けたユーザーが十分に保護され、全額補償を受けることを確保しました。現在、BinanceでのFLOWトークンの入金および出金機能は全面的に復旧しており、Flowネットワークの運営も正常に戻り、影響を受けていません。問題が解決されたことで、BinanceでのFLOWの上場状態も正常に戻りました。