著者:SlowMist、Bitget Research Institute
I. 背景
大規模モデル技術の急速な発展に伴い、AIエージェントは単純なインテリジェントアシスタントから、タスクを自律的に実行できる自動化システムへと徐々に進化しています。この変化は特にWeb3エコシステムにおいて顕著です。ますます多くのユーザーが市場分析、戦略生成、自動取引にAIエージェントの利用を試み始めており、「24時間365日稼働する自動取引アシスタント」というコンセプトが現実味を帯びてきています。BinanceとOKXが複数のAIスキルをリリースしたのに続き、Bitgetもスキルリソースサイト「Agent Hub」をリリースしました。エージェントは取引プラットフォームのAPI、オンチェーンデータ、市場分析ツールに直接アクセスできるため、これまで手動による介入が必要だった取引の意思決定と実行タスクをある程度自動化できます。
従来の自動化スクリプトと比較して、AIエージェントはより強力な自律的意思決定能力と、より複雑なシステム連携能力を備えています。市場データへのアクセス、取引APIの呼び出し、口座資産の管理、さらにはプラグインやスキルによる機能エコシステムの拡張も可能です。この強化された機能により、自動取引への参入障壁が大幅に低下し、より多くの一般ユーザーが自動取引ツールを利用できるようになります。
しかし、能力を拡大することは、攻撃対象領域の拡大も意味する。
従来の取引シナリオでは、セキュリティリスクは通常、アカウント認証情報、APIキーの漏洩、フィッシング攻撃といった問題に集中していました。しかし、AIエージェントアーキテクチャでは新たなリスクが出現しています。例えば、プロンプトインジェクションはエージェントの意思決定ロジックに影響を与え、悪意のあるプラグインやスキルはサプライチェーン攻撃の新たな侵入経路となり、不適切なランタイム環境設定は機密データやAPI権限の悪用につながる可能性があります。これらの問題が自動取引システムと組み合わさると、潜在的な影響は情報漏洩にとどまらず、直接的な資産損失にまで及ぶ可能性があります。
一方、AIエージェントを取引口座に統合するユーザーが増えるにつれ、攻撃者もこの変化に急速に適応しています。エージェントユーザーを標的とした新たな詐欺パターン、悪意のあるプラグインの悪用、APIキーの不正使用などが、新たなセキュリティ脅威として徐々に台頭しています。Web3環境では、資産運用は高額かつ不可逆的な性質を持つことが多く、自動化システムが悪用されたり誤った方向に誘導されたりした場合、これらのリスクの影響はさらに増幅される可能性があります。
こうした背景のもと、SlowMistとBitgetは共同で本レポートを作成しました。本レポートでは、セキュリティ研究と取引プラットフォームの実践の両面から、複数のシナリオにおけるAIエージェントのセキュリティ問題を体系的に検証しています。本レポートが、ユーザー、開発者、プラットフォームに対し、セキュリティに関する知見を提供し、セキュリティとイノベーションのバランスが取れた、より強固なAIエージェントエコシステムの発展を促進する一助となることを期待しています。
II. AIエージェントの実際のセキュリティ上の脅威 | SlowMist
AIエージェントの出現により、ソフトウェアシステムは「人間主導の操作」から「モデル駆動型の意思決定と実行」へと移行しました。このアーキテクチャの変化は自動化機能を大幅に向上させる一方で、攻撃対象領域も拡大させています。現在の技術的な観点から見ると、典型的なAIエージェントシステムは、ユーザーインタラクション層、アプリケーションロジック層、モデル層、ツール呼び出し層(ツール/スキル)、メモリシステム、および基盤となる実行環境など、複数のコンポーネントで構成されています。攻撃者は単一のモジュールを標的にするのではなく、複数の層を通してエージェントの動作制御に徐々に影響を与えようとします。
1. 入力操作およびプロンプト注入攻撃
AIエージェントアーキテクチャでは、ユーザー入力や外部データがモデルコンテキストに直接組み込まれることが多く、プロンプトインジェクションは重大な攻撃手法となります。攻撃者は、エージェントに本来実行されるべきではないアクションを実行させるための具体的な指示を作成できます。例えば、チャットコマンドだけで、エージェントが高リスクのシステムコマンドを生成・実行してしまうケースもあります。
より高度な攻撃手法としては、間接的なコマンド注入があります。これは、攻撃者が悪意のあるコマンドをウェブページのコンテンツ、ドキュメント、またはコードコメントの中に隠すものです。エージェントがタスク実行中にこのコンテンツを読み取ると、それを正当なコマンドと誤認する可能性があります。例えば、プラグインのドキュメント、READMEファイル、またはMarkdownファイルに悪意のあるコマンドを埋め込むと、環境の初期化や依存関係のインストール中にエージェントが悪意のあるコードを実行してしまう可能性があります。
この攻撃パターンの特徴は、従来の脆弱性に頼るのではなく、モデルの信頼メカニズムを利用してコンテキスト情報を取得し、その動作ロジックに影響を与える点にある。
2. スキル/プラグインエコシステムにおけるサプライチェーンの汚染
現在のAIエージェントのエコシステムにおいて、プラグインとスキルシステム(スキル/MCP/ツール)はエージェントの機能を拡張する重要な手段である。しかしながら、このプラグインのエコシステムは、サプライチェーン攻撃の新たな侵入経路にもなりつつある。
SlowMistがOpenClawの公式プラグインセンターであるClawHubを監視したところ、開発者数の増加に伴い、悪意のあるスキルが侵入し始めていることが明らかになりました。400を超える悪意のあるスキルのIOCを分析した結果、多数のサンプルが少数の固定ドメイン、または同一IPアドレス下の複数のランダムなパスを指しており、明確なリソース再利用の特徴を示していることが判明しました。これは、グループによる大規模攻撃に近いものです。
OpenClawのスキルシステムでは、コアファイルは通常SKILL.mdです。従来のコードとは異なり、これらのMarkdownファイルは「インストール手順」や「初期化エントリポイント」として機能します。しかし、エージェントのエコシステム内では、これらのファイルはユーザーによって直接コピーされ、実行されることが多く、完全な実行チェーンを形成します。攻撃者は、curl | bashやBase64エンコードを使用して実際の手順を隠すなど、悪意のあるコマンドを依存関係のインストール手順に見せかけることで、ユーザーを騙して悪意のあるスクリプトを実行させることができます。
実際のサンプルでは、一部のスキルは典型的な「2段階読み込み」戦略を採用しています。第1段階のスクリプトは第2段階のペイロードのダウンロードと実行のみを担当するため、静的サイト検出の成功率が低下します。例えば、ダウンロード量の多い「X(Twitter)トレンド」スキルは、SKILL.mdファイルにBase64エンコードされたコマンドを隠しています。
解読してみると、その本質はリモートスクリプトをダウンロードして実行することであることがわかる。
プログラムの第2段階では、システムポップアップを偽装してユーザーのパスワードを取得し、ローカル情報、デスクトップ上のドキュメント、システムの一時ディレクトリ内のダウンロードディレクトリにあるファイルを収集し、最後にそれらをパッケージ化して攻撃者が管理するサーバーにアップロードします。
この攻撃方法の最大のメリットは、スキルシェル自体は比較的安定した状態を維持できる一方で、攻撃者はリモートペイロードを変更するだけで攻撃ロジックを継続的に更新できる点にある。
3. エージェントの意思決定およびタスクオーケストレーション層のリスク
AIエージェントのアプリケーションロジック層では、タスクは通常、モデルによって複数の実行ステップに分割されます。攻撃者がこの分割プロセスに影響を与えることができれば、エージェントが正当なタスクを実行する際に異常な動作を示す可能性があります。
例えば、複数のステップを含むビジネスプロセス(自動デプロイやオンチェーン取引など)では、攻撃者が重要なパラメータを改ざんしたり、論理的な判断を妨害したりすることで、エージェントが実行プロセス中にターゲットアドレスを変更したり、追加の操作を実行したりする可能性があります。
過去のSlowMistのセキュリティ監査では、悪意のあるプロンプトがMCPに返され、コンテキストを汚染することで、エージェントがウォレットプラグインを呼び出してオンチェーン転送を実行するように仕向けられていました。
この種の攻撃の特徴は、エラーがモデル生成コードから発生するのではなく、タスクオーケストレーションロジックが改ざんされることから発生するという点である。
4. IDE/CLI環境におけるプライバシーおよび機密情報の漏洩
開発支援や自動化された運用においてAIエージェントが広く利用されるようになったことで、多くのエージェントがIDE、CLI、またはローカル開発環境で実行されるようになりました。これらの環境には通常、.env設定ファイル、APIトークン、クラウドサービス認証情報、秘密鍵ファイル、各種アクセスキーなど、大量の機密情報が含まれています。エージェントがタスク実行中にこれらのディレクトリやインデックス付きプロジェクトファイルにアクセスすると、意図せず機密情報がモデルコンテキストに持ち込まれてしまう可能性があります。
自動化された開発プロセスの中には、デバッグ、ログ分析、または依存関係のインストール中に、エージェントがプロジェクトディレクトリ内の設定ファイルを読み取る場合があります。明示的な無視ポリシーやアクセス制御がない場合、この情報はログに記録されたり、リモートモデルAPIに送信されたり、悪意のあるプラグインによって漏洩したりする可能性があります。
さらに、一部の開発ツールでは、エージェントがコードリポジトリを自動的にスキャンしてコンテキストメモリを構築する機能があり、これにより機密データの漏洩範囲が拡大する可能性があります。例えば、秘密鍵ファイル、ニーモニックフレーズのバックアップ、データベース接続文字列、サードパーティAPIトークンなどが、インデックス作成プロセス中に読み取られる可能性があります。
この問題は、Web3開発環境において特に顕著です。なぜなら、開発者はテスト用の秘密鍵、RPCトークン、デプロイメントスクリプトなどをローカルに保存することが多いためです。悪意のあるスキル、プラグイン、またはリモートスクリプトによってこれらの情報が取得された場合、攻撃者は開発者のアカウントやデプロイメント環境を乗っ取ってしまう可能性があります。
したがって、AIエージェントがIDE/CLIと統合されるシナリオでは、明確な機密ディレクトリ無視ポリシー(.agentignore、.gitignoreメカニズムなど)と権限分離対策を確立することが、データ漏洩のリスクを低減するための重要な前提条件となります。
5. モデルレベルの不確実性と自動化リスク
AIモデルは完全に決定論的なシステムではなく、その出力にはある程度の確率的な不安定性が伴います。これは「モデル錯覚」として知られており、情報が不足している場合に、モデルが一見妥当に見えるものの実際には誤った結果を生成する現象です。従来のアプリケーションでは、このようなエラーは通常、情報品質にのみ影響しますが、AIエージェントアーキテクチャでは、モデルの出力がシステム動作を直接引き起こす可能性があります。
例えば、プロジェクト展開時にモデルが実際のパラメータを照会できず、誤ったIDを生成して展開プロセスを続行してしまうケースが時折発生しました。オンチェーン取引や資産運用において同様の状況が発生した場合、こうした誤った判断は取り返しのつかない経済的損失につながる可能性があります。
6. Web3シナリオにおける高価値運用リスク
従来のソフトウェアシステムとは異なり、Web3環境における多くの操作は取り消し不可能です。例えば、オンチェーン送金、トークン交換、流動性の追加、スマートコントラクト呼び出しなどは、トランザクションが署名されネットワークにブロードキャストされると、取り消しやロールバックが困難になります。そのため、AIエージェントを使用してオンチェーン操作を実行する場合、セキュリティリスクはさらに増大します。
一部の実験的なプロジェクトでは、開発者はエージェントが自動裁定取引、資金管理、DeFi操作などのオンチェーン取引戦略の実行に直接参加できるようにすることを検討し始めています。しかし、タスクの分解やパラメータ生成中にエージェントがプロンプトワードの挿入、コンテキスト汚染、またはプラグイン攻撃の影響を受けると、取引処理中にターゲットアドレスが置き換えられたり、取引金額が変更されたり、悪意のあるコントラクトが呼び出されたりする可能性があります。さらに、一部のエージェントフレームワークでは、プラグインがウォレットAPIや署名インターフェースに直接アクセスすることを許可しています。署名分離や手動確認メカニズムがない場合、攻撃者は悪意のあるスキルを使用して自動取引をトリガーすることさえ可能です。
したがって、Web3シナリオにおいて、AIエージェントを資産管理システムに完全に依存させることは、リスクの高い設計と言えます。より安全なアプローチとしては、エージェントは取引提案や未署名の取引データのみを生成し、実際の署名プロセスは独立したウォレットまたは手動検証によって処理するという方法が一般的です。さらに、アドレスの評判チェック、AMLリスク管理、取引シミュレーションなどのメカニズムを組み合わせることで、自動取引に伴うリスクをある程度軽減できます。
7. 高権限実行に起因するシステムレベルのリスク
実際の運用環境における多くのAIエージェントは、ローカルファイルシステムへのアクセス、シェルコマンドの実行、さらにはroot権限での実行など、高いシステム権限を有している。エージェントの動作が操作されると、その影響は単一のアプリケーションにとどまらず、広範囲に及ぶ可能性がある。
SlowMistは、TelegramなどのインスタントメッセージングソフトウェアとOpenClawを連携させてリモートコントロールを実現するテストを実施しました。制御チャネルが攻撃者に乗っ取られた場合、このエージェントは任意のシステムコマンドの実行、ブラウザデータの読み取り、ローカルファイルへのアクセス、さらには他のアプリケーションの制御にも悪用される可能性があります。プラグインエコシステムとツール呼び出し機能と組み合わせることで、この種のエージェントは既に「インテリジェントなリモートコントロール」の特性をある程度備えていると言えます。
要約すると、AIエージェントに対するセキュリティ上の脅威は、従来のソフトウェアの脆弱性にとどまらず、モデルインタラクション層、プラグインサプライチェーン、実行環境、資産運用層など、複数の次元に及んでいます。攻撃者は、プロンプトを通じてエージェントの動作を操作したり、悪意のあるスキルや依存関係を利用してサプライチェーン層にバックドアを仕込んだり、高権限環境で攻撃の影響をさらに増幅させたりすることができます。Web3シナリオでは、オンチェーン操作の不可逆性と実際の資産価値の関与により、これらのリスクはしばしば増幅されます。したがって、AIエージェントの設計と使用において、従来のアプリケーションセキュリティ戦略だけに頼るだけでは、新たな攻撃対象領域を完全にカバーするには不十分であり、アクセス制御、サプライチェーンガバナンス、トランザクションセキュリティメカニズムなどの分野で、より体系的なセキュリティ保護システムを構築する必要があります。
III. AIエージェントの取引セキュリティ対策 | Bitget
AIエージェントの能力が向上するにつれ、単に情報を提供したり意思決定を支援したりするだけでなく、システム運用に直接参加したり、オンチェーン取引を実行したりするようになっています。この変化は、特に仮想通貨取引の分野で顕著です。ますます多くのユーザーが、市場分析、戦略実行、自動取引にAIエージェントの利用を試しています。エージェントが取引インターフェースを直接呼び出し、口座資産にアクセスし、自動的に注文を発注できるようになると、セキュリティ上の問題は「システムセキュリティリスク」から「実資産リスク」へと変化します。AIエージェントが実際の取引で使用される場合、ユーザーはどのように口座と資金を保護すべきでしょうか?
これに基づき、Bitgetのセキュリティチームが取引プラットフォームでの実務経験に基づいて作成したこのセクションでは、AIエージェントを使用して自動取引を行う際に重点的に取り組むべき主要なセキュリティ戦略を体系的に紹介します。これには、アカウントのセキュリティ、API権限管理、資金の分離、取引の監視など、複数の側面が含まれます。
1. AIエージェント取引シナリオにおける主要なセキュリティリスク
脅威の種類 | 具体的な症状 | 重大度 |
不正アクセス | 見知らぬ人物が、エージェントに予期せぬ取引を実行させるきっかけを作った。 | 🔴 非常に高い |
迅速な注射 | 市場データ、ニュース、ローソク足チャートの注釈に悪意のあるコマンドが埋め込まれており、エージェントを操作して異常な注文を発注させる。 | 🔴 非常に高い |
権限ツールの悪用 | 過剰に承認されたAPIキーが、現金引き出しや高額送金に使用されました。 | 🔴 非常に高い |
ネットワーク露出 | IPアドレスのホワイトリストに登録されていないキーは、どのIPアドレスからでもアクセスできます。 | 🟠 高い |
ローカルファイル漏洩 | ハードコードされたキーはGitHubにアップロードされ、ウェブクローラーによってスクレイピングされた。 | 🟠 高い |
スキル:毒殺 | この悪意のあるスキルは、実行時にAPIキーを攻撃者のサーバーに密かに送信する。 | 🟠 高い |
モデルの強度が不十分です | 旧型モデルは、即座の注入攻撃に対して脆弱であり、防御能力も劣る。 | 🟡 中央 |
2. アカウントのセキュリティ
AIエージェントの出現により、攻撃経路は変化した。
アカウントにログインする必要はありません。APIキーを取得するだけで済みます。
検出する必要はありません。エージェントは24時間365日自動的に稼働し、異常な動作は数日間継続する可能性があります。
出金は不要です。プラットフォーム内取引で全資産を失うことも攻撃の標的となります。
APIキーの作成、変更、削除にはすべてログインしたアカウントが必要です。アカウント制御とは、キー管理の制御を意味します。アカウントのセキュリティレベルは、APIキーのセキュリティの上限を直接決定します。
あなたがすべきこと:
2段階認証の主要な方法として、SMSではなくGoogle認証システムを有効にしてください(SIMカードが乗っ取られる可能性があります)。
パスキー不要のログインを有効にする:FIDO2/WebAuthn規格に基づき、公開鍵と秘密鍵の暗号化によって従来のパスワードが置き換えられ、アーキテクチャレベルでフィッシング攻撃が無効になります。
フィッシング対策コードを設定
機器管理センターを定期的に点検し、見慣れない機器が見つかった場合は、直ちに接続を解除し、パスワードを変更してください。
3. APIセキュリティ
AIエージェントの自動取引アーキテクチャにおいて、APIキーはエージェントの「実行権限認証情報」に相当します。エージェント自体はアカウントを直接制御するわけではなく、実行可能なすべての操作はAPIキーに付与された権限の範囲に依存します。したがって、API権限の範囲によって、エージェントが実行できる操作と、セキュリティインシデント発生時の損失拡大の程度が決まります。
権限構成マトリックス – 便利な権限ではなく、最小限の権限:
エージェントのユースケース | 許可を与えるべきである。 | 閉鎖しなければならない |
市場分析/戦略調査 | 読み取り専用アクセス | 読み取り/書き込み権限、引き出し |
自動取引(現物取引) | スポットオーダーの読み書き | 契約、引き出し、資金移動 |
自動取引(契約取引) | 契約書の読み書き | 現金引き出し、資金送金 |
エージェントのシナリオ | 必要に応じて最小化する(チェックボックスにチェックを入れる) | 引き出し権限は永久に無効になっています |
ほとんどの取引プラットフォームでは、APIキーは通常、複数のセキュリティ制御をサポートしています。これらのメカニズムを適切に使用することで、APIキーの不正使用のリスクを大幅に軽減できます。一般的なセキュリティ設定の推奨事項は次のとおりです。
構成アイテム | 例示する | 安全に関する推奨事項 |
パスフレーズ(APIパスワード) | 8~32文字の独立したパスワードが必要です。API呼び出し時には追加の認証が必要となります。 | 別のパスワードを設定し、安全に保管してください。 |
読み取り/書き込み権限 / 読み取り専用権限 | 最上位の権限スイッチ。読み取り専用モードでは、エージェントは注文を出したり、ポジションを変更したりすることはできません。 | 誤操作を防ぐため、純粋な市場分析シナリオでは読み取り専用モードを選択してください。 |
業種を細かく選択 | 契約注文、スポット注文、資金振替は個別に選択でき、すべてを選択することも、個別に選択することも可能です。 | エージェントが実際に必要とするサービスの種類のみを選択し、それ以外はすべて選択解除してください。 |
IPホワイトリスト | 指定されたIPアドレスからの通話のみが許可され、その他のIPアドレスからの通話はすべて拒否されます。 | エージェントを実行しているサーバーのIPアドレスを入力することが、最も効果的なハード隔離方法です。 |
引き出し許可 | 取引権限とは完全に分離されており、独立した制御が可能です。 | この権限は、トランザクションエージェントにはデフォルトでは必要ありません。作成時に選択しないでください。 |
よくあるユーザーの間違い:
メインアカウントのAPIキーをエージェント設定に直接貼り付けると、メインアカウントのすべての権限が完全に公開されます。
業種で「すべて選択」を選ぶのは便利そうに見えるかもしれませんが、実際には事業運営の全範囲が対象になってしまいます。
パスフレーズが設定されていないか、パスフレーズがユーザー名とパスワードと同じです。
APIキーはコードにハードコーディングされており、GitHubにアップロードされてから3分以内にウェブクローラーによってスクレイピングされた。
1つのキーで複数のエージェントやツールに同時に認証を行うことができます。いずれか1つが侵害されると、システム全体が危険にさらされます。
鍵は漏洩後すぐに無効化されなかったため、攻撃者はその隙を悪用し続けることができた。
主要なライフサイクル管理:
APIキーは90日ごとに更新され、古いキーは即座に削除されます。
エージェントが非アクティブ化されると、対応するキーは直ちに削除されるため、攻撃対象となる領域は一切残りません。
API呼び出しログを定期的に確認し、見慣れないIPアドレスからの呼び出しや、通常とは異なる時間帯の呼び出しは直ちにキャンセルしてください。
4. 資金の安全性
攻撃者がAPIキーを入手した後に引き起こせる損失の程度は、そのキーでアクセスできる金額によって決まります。したがって、AIエージェントのトランザクションアーキテクチャを設計する際には、アカウントセキュリティとAPIアクセス制御に加えて、潜在的なリスクに対する明確な損失限度を設定するために、資金分離メカニズムを使用する必要があります。
サブアカウント分離メカニズム:
エージェント専用のサブアカウントを作成し、メインアカウントとは完全に分離してください。
メイン口座には、エージェントが実際に必要とする資金のみが割り当てられ、すべての資産が割り当てられるわけではありません。
サブアカウントのキーが盗まれた場合でも、攻撃者がアクセスできる最大金額はサブアカウント内の資金と同額であり、メインアカウントは影響を受けません。
複数のエージェントポリシーは、複数のサブアカウントを使用して個別に管理され、互いに分離されています。
資金パスワードは、セキュリティの第二層として機能します。
ファンドパスワードはログインパスワードとは完全に別個のものです。アカウントにログインしていても、ファンドパスワードがなければ出金手続きを開始することはできません。
資金管理用のパスワードとログイン用のパスワードは異なるものに設定してください。
出金ホワイトリストを有効にする:事前に登録されたアドレスのみが資金を引き出すことができます。新規アドレスは24時間の審査期間が必要です。
資金のパスワードを変更すると、システムは自動的に24時間引き出しを凍結します。これはお客様を保護するための仕組みです。
5. 取引の安全性
AIエージェントによる自動取引シナリオでは、セキュリティ問題は単発的な異常行動として現れるのではなく、システムの継続的な運用の中で徐々に発生することが多い。そのため、アカウントのセキュリティとAPIアクセス制御に加えて、継続的な取引監視と異常検知メカニズムを確立し、問題の初期段階で検知・介入する必要がある。
必要な監視システムを構築しなければならない。
監視方法 | 目的 |
メールとアプリによるデュアルチャネルプッシュ通知を有効にする | 注文の発注/キャンセル/高額取引/ログイン異常をカバーします |
API呼び出しログを毎週確認する | 時間、IPアドレス、および操作の種類が想定どおりであることを確認してください。 |
口座ポジションの変化を監視する | エージェントは長期間活動していませんでしたが、アカウントに新しいポジションが表示されています。すぐに確認してください。 |
異常信号の検出 – 直ちに停止し、以下のいずれかが発生した場合は確認してください。
当該エージェントは長期間活動していませんでしたが、口座に新たな注文やポジションが発生しています。
API呼び出しログには、エージェントサーバー以外のIPアドレスからのリクエストが表示されます。
これまで設定したことのない取引ペアの約定通知を受け取りました。
口座残高の不明な変動
エージェントが「実行には追加の権限が必要です」と繰り返し表示する場合は、承認を与えるかどうかを決定する前に、その理由を突き止めてください。
スキルとツールのソース管理:
公式チャンネルでリリースされ、認証済みチャンネルで承認されたスキルのみをインストールしてください。
出所不明または未確認のサードパーティ製拡張機能のインストールは避けてください。
インストールされているスキルの一覧を定期的に確認し、不要になったスキルは削除してください。
Skillのコミュニティによる「機能強化版」や「地域限定版」には注意してください。非公式バージョンにはリスクが伴います。
6. データセキュリティ
AIエージェントは、意思決定のために膨大な量のデータ(口座情報、保有銘柄、取引履歴、市場データ、戦略パラメータなど)に依存しています。これらのデータが漏洩したり改ざんされたりした場合、攻撃者はあなたの戦略を推測したり、取引行動を操作したりする可能性があります。
あなたがすべきこと
最小限のデータ原則:取引を実行するために必要なデータのみをエージェントに提供する。
機密データの匿名化:ログやデバッグ情報では、エージェントが完全なアカウント情報、APIキー、その他の機密データを出力できないようにする必要があります。
公開されているAIモデル(公開されているLLM APIなど)にアカウントの完全なデータをアップロードすることは禁止されています。
可能であれば、ポリシーデータとアカウントデータを分離してください。
エージェントによる過去の取引データのエクスポートを無効にするか制限する
よくあるユーザーエラー
AIに取引履歴全体をアップロードして、「私の戦略を最適化するのに役立ててください」。
エージェントログにAPIキー/シークレットを印刷する
取引記録(注文IDとアカウント情報を含む)のスクリーンショットを公開フォーラムに投稿してください。
分析のために、データベースのバックアップをAIツールにアップロードしてください。
7. AIエージェントプラットフォーム層のセキュリティ設計
ユーザー側のセキュリティ設定に加え、AIエージェント取引エコシステムのセキュリティは、プラットフォームレベルのセキュリティ設計にも大きく依存します。成熟したエージェントプラットフォームでは、アカウントの分離、APIアクセス制御、プラグインの監査、基本的なセキュリティ機能といった分野で体系的な保護メカニズムを確立し、自動取引システムへのアクセス時にユーザーが直面する全体的なリスクを軽減する必要があります。
実際のプラットフォームアーキテクチャでは、一般的なセキュリティ設計には通常、以下の側面が含まれます。
1. サブアカウント分離システム
自動取引環境では、プラットフォームは通常、異なる自動取引システム間で資金と権限を分離するために、サブアカウントまたは戦略アカウントシステムを提供します。これにより、ユーザーは各エージェントまたは取引戦略ごとに独立したアカウントと資金プールを割り当てることができ、複数の自動取引システムが同じアカウントを共有することに伴うリスクを回避できます。
2. きめ細かなAPI権限設定
AIエージェントの中核的な動作はAPIインターフェースに依存するため、プラットフォームのAPI権限設計では、トランザクション権限の割り当て、IPソースの制限、追加のセキュリティ検証メカニズムなど、きめ細かな制御をサポートする必要があります。この権限モデルにより、ユーザーはタスクの完了に必要な最小限の権限のみをエージェントに付与できます。
3. エージェントプラグインとスキル検証メカニズム
一部のプラットフォームでは、プラグインやスキルのリリースおよびリスト化に関して、コードレビュー、権限評価、セキュリティテストなどの審査メカニズムを導入し、悪意のあるコンポーネントがエコシステムに侵入する可能性を低減しています。セキュリティの観点から見ると、これらの審査メカニズムは、プラグインのサプライチェーンにプラットフォームレベルのフィルタを追加するのと同等の効果がありますが、ユーザーはインストールする拡張機能に関して基本的なセキュリティ意識を維持する必要があります。
4. プラットフォームの基本的なセキュリティ機能
エージェント関連のセキュリティメカニズムに加えて、取引プラットフォーム独自の口座セキュリティシステムもエージェントユーザーに大きな影響を与えます。例えば、次のようになります。
能力 | エージェントユーザーにとっての重要性 |
パスキー(FIDO2/Web認証) | アカウント自体はフィッシングの標的になりうるパスワードに依存しておらず、APIキー管理の方がより安全です。 |
MFAフルシナリオ必須 | APIキーの作成、変更、削除には、いずれも二次認証が必要です。 |
フィッシング対策コードメカニズム | 公式メールには固有の識別子が含まれているため、偽の通知を偽造することは不可能です。 |
MPC + コールドウォレットカストディ | プラットフォームの資産セキュリティアーキテクチャは、エージェントの動作レイヤーとは独立して資産を保護します。 |
8. エージェントユーザーを標的とした新たなタイプの詐欺。
偽のカスタマーサービス
「お客様のAPIキーにセキュリティ上のリスクがあります。直ちに再設定してください。」というメッセージが表示された後、フィッシングリンクが送られてきます。
→ 公式チームは、プライベートメッセージを通じてAPIキーを積極的に要求することはありません。
毒殺スキルパック
コミュニティでは、実行時に秘密鍵を密かに送信する「強化された取引スキル」を共有しています。
→ 公式に承認されたチャネルからのみスキルをインストールしてください。
偽のアップグレード通知
「再認証が必要です」というメッセージは、偽のページに誘導します。
→ メールのフィッシング対策コードを確認してください。
先端注入攻撃
市場データ、ニュース、ローソク足チャートの注釈に指示を埋め込むことで、エージェントを操作して予期せぬ動作を実行させることができる。
→ サブアカウントの資金に上限を設定することで、資金が投入された場合でも損失額に厳格な上限を設けることができます。
「セキュリティ検出ツール」を装った悪意のあるスクリプト
彼らはあなたの鍵が漏洩したかどうかを検知できると主張していますが、実際には鍵を盗んでいるのです。
→ 公式プラットフォームが提供するログまたはアクセスレコードを使用して、API呼び出しのアクティビティを確認してください。
9. トラブルシューティング手順
異常を検出する
↓
疑わしいAPIキーは直ちに失効または無効化してください。
↓
口座内の異常な注文やポジションを確認し、すぐにキャンセルできるものはすべてキャンセルしてください。
↓
資金が送金されたかどうかを確認するには、出金記録を確認してください。
↓
ログインパスワードと資金管理パスワードを変更し、ログインしているすべてのデバイスをログアウトさせてください。
↓
プラットフォームのセキュリティサポートに連絡し、異常が発生した時間帯と操作ログを提供してください。
↓
鍵漏洩経路を調査する(コードリポジトリ/設定ファイル/スキルログ)
基本原則:疑義が生じた場合は、まず鍵を取り消し、次に原因を調査する。この順序は逆転できない。
IV.提言と要約
本レポートでは、SlowMistとBitgetが、Web3シナリオにおける現在のAIエージェントの典型的なセキュリティ問題を、実際の事例研究とセキュリティ調査を組み合わせながら分析しています。これらの問題には、エージェントの動作を操作するプロンプトインジェクションのリスク、プラグインとスキルエコシステムにおけるサプライチェーンリスク、APIキーとアカウント権限の悪用、自動実行による偶発的な操作や権限昇格などの潜在的な脅威が含まれます。これらの問題は、単一の脆弱性によって引き起こされるのではなく、エージェントアーキテクチャ設計、アクセス制御ポリシー、およびランタイム環境のセキュリティが複合的に作用した結果であることが多いのです。
したがって、AIエージェントシステムを構築または使用する際には、セキュリティ設計をアーキテクチャ全体レベルで実装する必要があります。例えば、エージェントにAPIキーとアカウント権限を割り当てる際には、最小権限の原則に従い、不要な高リスク機能を有効にしないようにする必要があります。ツール呼び出しレベルでは、プラグインとスキルの権限を分離し、単一のコンポーネントがデータ取得、意思決定、資金運用機能を同時に持つことを防ぐ必要があります。エージェントが重要な操作を実行する際には、明確な動作境界とパラメータ制限を設定し、自動実行によって生じる取り返しのつかないリスクを軽減するために、必要なシナリオでは手動確認メカニズムを追加する必要があります。同時に、エージェントが依存する外部入力については、プロンプトインジェクション攻撃を防ぐために、適切なプロンプト設計と入力分離メカニズムを使用し、モデル推論プロセスで外部コンテンツをシステム命令として直接使用しないようにする必要があります。実際の展開と運用においては、必要な権限のみを有効にする、IPホワイトリストを設定する、キーを定期的にローテーションする、機密情報をコードリポジトリ、構成ファイル、ログシステムに平文で保存しないなど、APIキーとアカウントのセキュリティ管理を強化する必要があります。開発プロセスおよび実行環境においては、プラグインのセキュリティレビュー、機密ログ情報の管理、動作監視および監査メカニズムなどの対策を実施し、設定情報の漏洩、サプライチェーン攻撃、異常動作のリスクを低減する必要がある。
より広範なセキュリティアーキテクチャレベルでは、SlowMistは研究において、AIおよびWeb3インテリジェントエージェントのシナリオ向けに多層セキュリティガバナンスアプローチを提案しました。このアプローチは、階層的な保護システムを構築することで、高権限環境におけるインテリジェントエージェントのリスクを体系的に低減します。このフレームワークでは、L1セキュリティガバナンスは、統一された開発および使用セキュリティベースラインに基づいています。開発ツール、エージェントフレームワーク、プラグインエコシステム、およびランタイム環境を網羅するセキュリティ仕様を確立することで、AIツールチェーンを導入する際に、チームに統一されたポリシーソースと監査基準を提供します。これに基づき、L2は、エージェントの権限境界、ツール呼び出しの最小権限制御、および重要な動作に対する人間と機械の検証メカニズムの統合を通じて、高リスク操作の実行範囲を効果的に制限します。同時に、L3は、外部インタラクションのエントリポイントでリアルタイムの脅威認識機能を導入し、URL、依存関係リポジトリ、プラグインソースなどの外部リソースを事前にチェックすることで、悪意のあるコンテンツやサプライチェーン汚染が実行チェーンに侵入する可能性を低減します。オンチェーン取引や資産運用を伴うシナリオでは、L4 のオンチェーンリスク分析と独立した署名メカニズムが追加のセキュリティ分離を提供し、エージェントが秘密鍵に直接アクセスすることなくトランザクションを構築できるようにすることで、高額資産運用に伴うシステムリスクを低減します。最終的に、L5 は、継続的な検査、ログ監査、定期的なセキュリティレビューなどの運用メカニズムを通じて、「実行前に事前検査可能、実行中に制約あり、実行後にレビュー可能」なクローズドループのセキュリティ機能を形成します。この階層型セキュリティアプローチは、単一の製品やツールではなく、AI ツールチェーンとインテリジェントエージェントエコシステムのためのセキュリティガバナンスフレームワークです。その中核的な目的は、体系的な戦略、継続的な監査、セキュリティ機能の連携を通じて、開発効率と自動化機能を大幅に低下させることなく、持続可能で監査可能かつ進化可能なエージェントセキュリティ運用システムをチームが構築できるよう支援することです。これにより、AI と Web3 の深い統合という状況下で絶えず変化するセキュリティ課題に適切に対処できるようになります。
全体として、AIエージェントはWeb3エコシステムに高度な自動化とインテリジェンスをもたらしますが、そのセキュリティ上の課題は無視できません。システム設計、アクセス制御、運用監視など、複数のレベルにわたる堅牢なセキュリティメカニズムを確立することによってのみ、AIエージェントにおける技術革新を推進しながら、潜在的なリスクを効果的に軽減することができます。本レポートは、AIエージェントシステムの構築と利用において、開発者、プラットフォーム、およびユーザーにとっての参考資料を提供し、技術開発を促進するとともに、より安全で信頼性の高いWeb3エコシステムを共に育成することを目的としています。
その他のリソース
OpenClaw ミニマリストセキュリティ実践ガイド
これは、認知層からインフラストラクチャ層までを網羅したエンドツーエンドのエージェントセキュリティ導入マニュアルであり、実際の運用環境における高権限AIエージェントのセキュリティ対策と導入推奨事項を体系的に概説しています。
https://github.com/slowmist/openclaw-security-practice-guide
MCPセキュリティチェックリスト
体系的なセキュリティチェックリストを使用することで、エージェントサービスを迅速に監査し、強化することができます。これにより、チームはMCP/スキルや関連するAIツールチェーンを展開する際に、重要な防御ポイントを見落とすことを防ぐことができます。
https://github.com/slowmist/MCP-Security-Checklist
マスターMCP
実際の攻撃シナリオを再現し、防御システムの堅牢性をテストするために使用される、悪意のあるMCPサーバーのオープンソースの例。セキュリティ研究や防御検証に利用できます。
https://github.com/slowmist/MasterMCP
ミストトラックのスキル
プラグアンドプレイ方式のエージェントスキルセットにより、AIエージェントにプロフェッショナルな暗号通貨AMLコンプライアンスとアドレスリスク分析機能を提供し、オンチェーンアドレスリスク評価や取引前リスク判断に利用できます。
https://github.com/slowmist/misttrack-skills
AIとWeb3インテリジェントエージェントのセキュリティ統合ソリューション
AIおよびWeb3インテリジェントエージェント向けの包括的なセキュリティソリューションは、ADSSガバナンスベースラインおよびMistEye、MistTrack、MistAgentなどの機能と連携し、5層のプログレッシブデジタル要塞アーキテクチャを通じて、実行前検査、実行中制約、実行後レビューというセキュリティのクローズドループを実現することを目指しています。
https://mp.weixin.qq.com/s/mWBwBANlD7UchU9SqDp_cQ
取引セキュリティ自己チェックリスト
統合前に、OpenClawの硬化処理が必要です。
検査項目 | 州 |
OpenClaw ≥ 2026.1.29 にアップグレードしました | □ |
リスニングアドレスが127.0.0.1に変更されました | □ |
ゲートウェイ認証が有効になっており、デフォルトの空のパスワードは使用されていません。 | □ |
Openclawセキュリティ監査--fixは既に実行中です | □ |
logging.redactSensitive が tools に設定されました | □ |
アクセス前のアカウントセキュリティ
検査項目 | 州 |
Google認証システム(SMSによる2段階認証ではない)が有効になっています。 | □ |
パスキーによるログインが有効になっています。 | □ |
フィッシング対策コードが設定されました。 | □ |
機器管理センターを点検した結果、見慣れない機器は発見されませんでした。 | □ |
資金管理用のパスワードが設定されています。これはログインパスワードとは異なります。 | □ |
出金ホワイトリストが有効になっています | □ |
事前アクセス · スキルセキュリティ
検査項目 | 州 |
インストールされているスキルのすべてのソースがレビューされました。 | □ |
ソース情報のない「拡張版」または「中国語版」はインストールされません。 | □ |
使用されなくなったスキルはすべて削除されました。 | □ |
統合前のAPIキー設定
検査項目 | 州 |
サブアカウント専用のAPIキーが作成されました。メインアカウントのキーは使用されていません。 | □ |
ユーザー名とパスワードとは異なる、別のパスフレーズが設定されています。 | □ |
出金権限は無効になっています。 | □ |
必要に応じて業種を選択してください。使用しない場合はすべて選択してください。 | □ |
契約取引/現物取引の許可は最小限に抑え、必要に応じてのみ許可するべきである。 | □ |
IPホワイトリストは、エージェントが実行されているサーバーのアドレスに紐付けられています。 | □ |
APIキーは環境変数に保存され、コード内にハードコーディングされていません。 | □ |
.env ファイルが .gitignore に追加されました | □ |
統合前の資金分離
検査項目 | 州 |
代理人のサブアカウントには、必要な資金のみが割り当てられ、すべての資産が割り当てられたわけではなかった。 | □ |
動作環境は、共有サーバーではなく、自己制御型のマシンです。 | □ |
実行中・監視中
検査項目 | 州 |
取引とログインに関するデュアルチャネルプッシュ通知が有効になりました。 | □ |
API呼び出しログを毎週確認してください(時間/IPアドレス/操作の種類)。 | □ |
「APIキーを即時失効させる」操作手順を把握する | □ |
販売中止/交換・清掃
検査項目 | 州 |
エージェントが非アクティブ化されたら、対応するAPIキーを直ちに削除してください。 | □ |
サブアカウントの資金はメインアカウントに振り替えられました。 | □ |
コードリポジトリには、残存キー(Git履歴を含む)は存在しません。 | □ |
✅ 上記のすべてのチェックが完了すると、AIエージェント自動取引システムの全体的なセキュリティリスクが大幅に軽減されます。
