研究者が暗号資産を盗むことができる悪意のあるAIエージェントルーターを発見

カリフォルニア大学の研究者らは、一部のサードパーティAI大規模言語モデル(LLM)ルーターがセキュリティー脆弱性を引き起こし、暗号資産の盗難につながる可能性があることを発見しました。 

研究者らが木曜日に発表したLLMサプライチェーンにおける悪意のある仲介攻撃を測定する論文では、悪意のあるコードインジェクションと認証情報の抽出を含む4つの攻撃ベクトルが明らかになりました。 

「26のLLMルーターが密かに悪意のあるツール呼び出しを注入し、認証情報を盗んでいる」と、論文の共著者であるChaofan ShouがX上で述べました。

LLMエージェントは、OpenAI、Anthropic、Googleなどのプロバイダーへのアクセスを集約するサードパーティAPIブローカーやルーターを通じてリクエストをルーティングすることが増えています。しかし、これらのルーターはインターネットTLS(トランスポート層セキュリティ)接続を終了し、すべてのメッセージへの完全な平文アクセス権を持っています。 

つまり、Claude Codeなどの AI 駆動コーディングエージェントを使用してスマートコントラクトやウォレットを開発する開発者は、スクリーニングやセキュリティー保護されていないルーターインフラストラクチャを通じて秘密鍵、シードフレーズ、機密データを渡している可能性があります。

おとり暗号資産ウォレットからETHが盗まれる 

研究者らは、28の有料ルーターと公開コミュニティから収集した400の無料ルーターをテストしました。 

その結果は驚くべきもので、9つのルーターが悪意のあるコードを積極的に注入し、2つが適応型回避トリガーを展開し、17が研究者所有のAmazon Web Servicesの認証情報にアクセスし、1つが研究者所有の秘密鍵からイーサリアム(ETH)を引き出していました。

関連記事: Anthropicがサイバー攻撃の懸念からAIモデルへのアクセスを制限

研究者らはイーサリアムウォレットの「おとり鍵」に少額の残高を事前に入金し、実験で失われた価値は50ドル未満であったと報告しましたが、取引ハッシュなどの詳細は提供されませんでした。 

著者らはまた、善良なルーターでさえ、脆弱なリレーを通じて漏洩した認証情報を再利用すると危険になることを示す2つの「ポイズニング研究」も実施しました。

ルーターが悪意のあるものかどうかを判断するのは困難

研究者らは、ルーターが悪意のあるものであるかどうかを検出するのは容易ではないと述べました。  

もう1つの不安な発見は、研究者らが「YOLOモード」と呼ぶものでした。これは多くのAIエージェントフレームワークにおける設定で、エージェントがユーザーに確認を求めることなく自動的にコマンドを実行します。

以前は正当だったルーターがオペレーターの知らないうちに密かに武器化される可能性があり、一方で無料ルーターは安価なAPIアクセスを餌として提供しながら認証情報を盗んでいる可能性があると、研究者らは発見しました。

研究者らは、AIエージェントを使用してコーディングする開発者はクライアント側の防御を強化すべきであり、秘密鍵やシードフレーズをAIエージェントセッションを経由させないことを推奨しました。

長期的な解決策は、AI企業が応答に暗号署名を行い、エージェントが実行する指示が実際のモデルから来ていることを数学的に検証できるようにすることです。 

マガジン: 量子セキュア暗号化が実際に機能するかどうか誰も知らない