ブロックチェーンセキュリティ監査企業CertiKの最高経営責任者であるRonghui Guは、インターネットや企業ネットワーク、消費者アプリケーション全般における自治的AIエージェントの急速な展開が、破滅的なセキュリティ負債を生み出していると指摘している。
企業はこれらのツールを効率化の奇跡として推進しているが、Gu氏は現実には非常に高いリスクが伴うと強調する。分離されず、検証もされていないAIエージェントは、重大なセキュリティ災害をもたらす危険が常に存在していると同氏はCoinDeskに語った。
Gu氏は、ユーザーが最も機密性の高いファイルやローカル認証情報、資金アカウントを、容易に操作され乗っ取られる恐れのある自治的システムに晒している可能性を強く警告している。
「現在のエージェントは単にチャットウィンドウで質問に答えるだけではありません」とGu氏は述べている。CertiKの広範なエージェントインフラ調査報告発表直後のCoinDeskとのインタビューで、「エージェントは外部ツールの呼び出し、ローカルファイルの読み取り、ワークフローの起動、さらには金融インフラとの連携を開始しています。しかし、実行環境の分離や十分な事前スキャンがなければ、危険にさらされたIDがネットワーク全体への内部アクセス権を広範に獲得してしまいます」と説明した。
Gu氏によると、現在のAIエージェントブームの根本的な欠陥は、誤った信頼モデルに起因しているという。
CardanoのInput Output創業者兼CEOのCharles Hoskinsonは2035年までにAIエージェントがインターネット上で人間よりも重要な存在になると予測し、CoinbaseのCEO Brian Armstrongは「非常に近い将来にAIエージェントが人間より多く取引を行うだろう」と述べ、Binanceの創業者Changpeng Zhaoも「AIエージェントは人間の100万倍の決済を行うだろう」と予想している。
究極の内部脅威
Gu氏は、多くの人気のあるオープンソースのAIアプリケーションが、ユーザーのコンピューター上でローカルに動作するか、WhatsAppのような標準的チャットアプリを介して接続されるため、外部からの脅威が存在しないという前提で設計されていることを指摘する。
しかし実際は、その前提は誤りである。ユーザーがAIエージェントに対しローカルシステムのストレージ読み取りや実行履歴の閲覧、個人メールや業務用データベースの認証情報管理を許可した瞬間、そのエージェントは究極の内部脅威へと変貌する。
CertiKが最近解析した急速に拡大している初期段階のエージェント構造では、数百件に及ぶ重大なセキュリティアドバイザリや未修正の一般的脆弱性(CVE)、境界チェックが不十分なためにローカル認証情報やセッションメモリの大量漏洩が発生していることが判明した。
さらにGu氏は、こうした自治的システムは一行の悪意あるコードを記述することなく、推論層で容易に完全に動作を再指向され得る危険もはらんでいると強調する。
「プロンプトインジェクション」攻撃によって、悪意のある者は無害に見えるウェブページやPDF文書、受信メールの中に自然言語の隠れた命令を埋め込むことが可能だとGu氏は説明した。
分離されていないAIエージェントがそのファイルを読み込みタスクを処理する際、信頼されたシステムコマンドと信頼されていない外部データの区別がつかなくなる。エージェントは静かに元のルールを上書きし、悪意ある命令に従い、データを密かに持ち出したり不正な資金移動を引き起こしたりすることが可能だと述べている。
超高速の攻撃
Gu氏は、CertiKがエージェントユーティリティハブ上に直接置かれた数百もの悪意あるスキルや偽インストーラー、類似の依存パッケージを発見したことを明かした。これら悪質なプラグインは標準的自然言語を使ってエージェントの挙動を微妙に操作し、本来の目的を変えてしまうため、従来のシグネチャベースのアンチウイルスソフトでは完全に検出不能だという。
「詐欺アプリは自然言語で行動を誘導するため、従来型のアンチウイルススキャンではまったく無効化できません」とGu氏は解説した。「現在は、人間を騙すよりも機械を騙すほうがはるかに容易な時代です」
Gu氏が「奇妙な金融犯罪の進化」と表現するように、CertiKのテレメトリでは10分から数時間のみ稼働し、完全に消失する超高速で一過性のオンチェーン・サイバー詐欺の急増が観測されている。
これらの超高速の一時的悪用手法は、ハッカーが他の自治的AIトレーディングボットや自動エージェントシステムを標的にし、マシン間の資金搾取を人間が気づく前に実行することを狙って設計されている。
Gu氏は、ソフトウェアエンジニアリング業界は信頼ベースの相互作用に依存することを完全にやめ、すべてのコマンドや依存関係を継続的に検証する分離された「ゼロトラスト」アーキテクチャへ速やかに移行すべきだと指摘している。