CertiK CEOがAIエージェントのセキュリティリスクを警告、導入がアイソレーションを超えるスピードで加速

AIエージェントのセキュリティリスクに対する警告は、ますます鋭く、そして切迫したものになっている。CertiKの共同創業者兼CEOであるRonghui Guは、アプリ、ネットワーク、金融システム全体に自律型AIエージェントを展開しようとする動きが、それを制御するために必要な基本的なセキュリティ対策を上回るスピードで進んでいると述べている。

これが重要な理由は、こうしたシステムがもはやチャットボックスでプロンプトに答えるだけにとどまらないからだ。Guによれば、AIエージェントはローカルファイルの読み取り、外部ツールの呼び出し、ワークフローのトリガー、そして機密アカウントとのやり取りを許可されるケースが増えているという。実際のところ、侵害されたエージェントは単なる不具合のあるアシスタントではない。認証情報、メール、さらには金融インフラへのアクセス権を持つ内部脅威になり得る。

Guのメッセージは明確だ。このような形での大規模展開は避けるべきだ、と。彼は、AIエージェントは機密データや重要システムへのアクセスを許可する前に、ウイルススキャンを実施し、隔離すべきだと主張している。そうした分離がなければ、ユーザーや企業は、多くの人が想定するよりもはるかに容易に操作されうるソフトウェアに対して、広範な内部アクセス権を渡してしまう可能性があると警告している。

CertiKがAIエージェントのセキュリティリスクが急速に高まっていると言う理由

CertiKの見解では、現在のエージェント展開の波は深刻なセキュリティ問題を生み出しているという。Guはこれを、自動化への熱狂に駆られる一方で基本的な保護対策が遅れており、多大なセキュリティ負債を積み重ねている状況だと表現している。

その警告の核心にあるのは「信頼」だ。多くのオープンソースAIツールは、ローカルで動作するか、WhatsAppなどの標準的なチャットアプリを含む馴染みのあるチャネルを通じて接続されているため、安全だと見なされている、とGuは指摘する。しかし、ローカルアクセスがエージェントを信頼に値するものにするわけではない。ユーザーがエージェントにストレージの検査、実行履歴の閲覧、または個人・業務用の認証情報の使用を許可した瞬間、そのソフトウェアはシステムの最も機密性の高い領域にまで深く入り込める可能性がある。

これが、AIエージェントのセキュリティリスクが通常のサイバーセキュリティの関係者を超えて広く注目を集めている理由の一つだ。これは従来の意味でのマルウェアの話だけではない。自律型システムが、適切なチェックや隔離が行われないまま、行動し、情報を取得し、ワークフローを移動する許可を与えられているという問題なのだ。

隔離されていないAIエージェントが乗っ取られる仕組み

CertiKの警告は特に、こうしたシステムがいかに容易に乗っ取られうるかに焦点を当てている。Guによれば、隔離されていないエージェントはローカルファイル、認証情報、メールアカウント、金融アカウントを露出させる可能性があるという。エージェントがそのレベルのアクセス権を持った場合、侵害による被害はもはや仮定の話ではない。操作されたボットはデータを外部に漏洩させたり、不正な資金移動をトリガーしたりする可能性がある。

通常のファイルを介したプロンプトインジェクション攻撃

最も明確な脅威の一つがプロンプトインジェクション攻撃だ。Guによれば、Webページ、PDFドキュメント、受信メールなど、一見無害に見えるコンテンツの中に隠された命令を埋め込むことができるという。

AIエージェントがタスクを完了するためにそのコンテンツを読み込む際、信頼できる命令と信頼できない外部入力を区別できない場合がある。その瞬間、エージェントの動作は静かに別の方向へ誘導される可能性がある。画面上に明らかなマルウェアのプロンプトは表示されない。劇的な警告も表示されない。代わりに、システムは元のルールではなく、攻撃者の指示に従い始める。

これが現在この問題が重要な主な理由だ。多くのユーザーにとって、無害に見えるドキュメントやメールはシステムレベルの脅威には感じられない。しかし自律型ツールでは、そうした通常のファイルがエージェントの乗っ取りに使われる経路となり得る。

悪意のあるスキルと偽の依存関係

CertiKはまた、エージェントを取り巻くエコシステムがすでにより深い構造的弱点を示していると指摘している。同社の分析では、エージェント構造の中に数百件に及ぶ重大なセキュリティ勧告や未修正のCVE（共通脆弱性識別子）、さらには露出した認証情報が発見された。

それに加えて、Guは、CertiKがオープンなエージェントユーティリティハブ上で悪意のあるスキル、偽のインストーラー、そして本物に似せた依存パッケージを発見したと述べている。これらは単なる粗雑なコーディングミスではない。攻撃者がエージェントの構築、更新、拡張方法に干渉できる環境を指し示している。

これらの脅威をさらに発見しにくくしているのは、その動作の仕組みだ。Guによれば、悪意のあるプラグインは従来のウイルス対策スキャンを回避できる可能性があるという。なぜなら、古いシグネチャベースのパターンではなく、標準的な自然言語を通じてエージェントの動作に影響を与えるからだ。平たく言えば、エージェントは攻撃が古典的なマルウェアのようには見えないまま、間違った行動をするよう騙される可能性がある。

CertiKがゼロトラストアーキテクチャを推進する理由

Guの答えは、継続的な検証を伴うゼロトラストアーキテクチャだ。エージェント、プラグイン、または依存関係がインストールされたら安全だと見なすのではなく、すべてのコマンドと依存関係を継続的に確認すべきだという。

そのアプローチは、CertiKが目の当たりにしている問題の規模に合致している。同社の分析では以下が発見された：

• 数百件の重大なセキュリティ勧告
• 未修正のCVE
• エージェント構造における露出した認証情報
• ローカルファイル、メール、金融インフラに関わる攻撃経路

ここで、より広い意義が見えてくる。AIエージェントのセキュリティリスクは、一つの悪質なアプリや一人の侵害されたユーザーだけの問題ではない。隔離、スキャン、検証が標準的な慣行となる前に自律性が拡大しているモデルを示している。これらのツールが資金、業務ワークフロー、または個人データを扱うことを意図しているなら、信頼をデフォルト設定として扱うことはできない。

また、CertiKが今警鐘を鳴らしている理由を説明するのに役立つ暗号資産の側面もある。Guは、同社がAIトレーディングボットや自動化されたエージェントシステムを標的とした、素早く消えるオンチェーン詐欺を観測していると述べている。こうした詐欺はわずか10分から数時間で消えてしまうことがある。

この詳細は示唆に富んでいる。機械駆動のシステムは、人間がレビューする時間をほとんど残さないスピードで動作することができ、攻撃者はその現実に適応しているようだ。事実上、自動化されたエージェントは自動化された詐欺の標的になりつつある。その結果は、特にオンチェーン活動や自動化された資金移動に関連する環境において、新種のマシン対マシンの攻撃サイクルだ。

CertiKの警告が今際立つ理由

CertiKの警告は、AIエージェントが生産性ツールやデジタルアシスタントとして売り込まれている時期に発せられた。しかし、Guの主張は、能力が封じ込めを追い越すスピードで進んでいるということだ。こうしたシステムがファイル、認証情報、資金に触れることを許可されるほど、セキュリティに関する安易な思い込みの余地は少なくなる。

彼の処方箋は明快だ。エージェントのウイルススキャンを実施し、アクセスを与える前に隔離し、自律性をデフォルトで安全なものとして扱うのをやめることだ。

そのアドバイスが無視されれば、次の攻撃の波はまず人を騙すことに頼らないかもしれない。その代わりに、彼らの代わりに行動するエージェントを直接狙いにいくかもしれない。