AIは私たちのデジタルライフを急速に変革しています。
より多くのユーザーが、ローカルコンピューターに接続されたAIアシスタントの利用を始めています。これにより、AIはファイルの自動整理、トレードの分析、メールの処理、さらにはウォレットや取引ツールへの接続まで行えるようになっています。AIは「チャットツール」から、システムレベルの操作権限を持つ「デジタルエージェント」へと進化しています。
しかし、効率が向上する一方で、新たなリスクが静かに浮上しています。AIがあなたのシステムにアクセスすると、それがハッカーによる口座への侵入経路となる可能性があります。暗号資産利用者にとって、これはプライバシーのリスクにとどまらず、口座の乗っ取りや資金の損失につながる可能性があります。
I. AIがシステム権限を持つ場合、あなたのすべての秘密が暴露される可能性があります
-
ローカルにデプロイされた多くのAIアシスタントは、本質的にローカルファイルを読み取り、システムコマンドを実行し、ブラウザデータにアクセスし、APIを呼び出し、ウェブサイトに自動ログインし、ウォレットまたは取引ツールを操作できます。
-
これにより、mnemonic phrases、private key files、取引パスワード、メール認証コード、APIキー、ブラウザに保存された口座認証情報、ローカルドキュメント、スクリーンショット、その他の機密情報にアクセスできるようになります。AIツールに悪意のあるコードが組み込まれると、これらの情報は静かに盗まれる可能性があります。
-
AIベースの攻撃の特徴:
-
攻撃のプロセスは非常に隠蔽されており、ポップアップや警告、異常な通知は一切ありません。
-
悪意のあるプログラムがバックグラウンドで実行されます:データを静かに収集し、攻撃者に静かに送信し、適切な瞬間を静かに待ちます
ユーザーはしばしば異常には気づかない一方で、攻撃者はすでに口座を完全に制御している可能性があります。
II. 悪意のあるAIプラグインはウォレットおよび取引所口座のデータを盗む可能性があります
🔎 セキュリティ研究者たちは最近、1つのAIアシスタントプラグインエコシステム内で、
-
ボットが検出した悪質な爪スキル 341 個
300以上もの悪意のあるAIプラグインが特定されました。
- 悪意のあるプログラムは、ブラウザのパスワード、暗号ウォレットデータ、SSHキー、APIキー、ローカルファイル、チャット記録を盗むことができます。
- 一部の悪意のあるプログラムには、キーロギング機能、リモートコントロール機能、バックドアアクセス機能が備わっています。
- 攻撃者はウォレットファイルを直接読み取り、取引所のログイン資格情報を取得し、メール認証コードをキャプチャし、アカウントのパスワードをリセットし、最終的に資産を振替することができます。
‼️ このプロセス全体にはユーザーのアクティブな承認は必要ありません。
III. AIアシスタントが攻撃者の新しい標的となっている理由
理由は単純です。AIアシスタントは、通常のソフトウェアよりも高い権限と広範なデータアクセスを持っています。従来のマルウェアは限られたデータしか盗めません。
ただし、AIエージェントは、ファイルシステム、ブラウザ、メール、ウォレット、チャット履歴、およびAPI権限を含むものにアクセスできます。
これらは必須です:システム管理者レベルのアクセス権を持つ自動実行ツールです。これらが侵害されると、攻撃者があなたのコンピュータ全体を制御したのと同等になります。
IV. 暗号資産ユーザーが直面する実際のリスク
AIアシスタントに悪意のあるプログラムが組み込まれた場合、攻撃者は以下を取得する可能性があります:
-
メンニックフレーズの漏洩:メンニックフレーズ = ウォレットの完全な管理権。攻撃者はウォレットを復元し、すべての資産を振替できます。
-
取引所口座の乗っ取りにより、攻撃者はログインパスワード、メール認証コード、APIキーを入手できます。その後:口座にログイン ➝ セキュリティ設定を変更 ➝ 資産を出金および振替
-
APIキーの盗難により、攻撃者は取引を実行し、悪意のある注文を作成し、口座の資金を操作できます。
-
メールアカウントの不正アクセス メールは口座セキュリティの核です。攻撃者は以下のような行動を取ることができます:取引所のパスワードをリセット ➝ 複数の口座を乗っ取る
V. 口座セキュリティを守るための7つの重要な対策
アカウントと資産のセキュリティを守るため、以下のセキュリティ原則を厳守してください:
-
mnemonic phraseやプライベートキーをAIツールに保存しないでください
- ❌避けるべきこと:mnemonic phraseをAIチャットに入力すること、コンピューター上でmnemonic phraseをプレーンテキストで保存すること、mnemonic phraseをローカルファイルに保存すること
- ✅推奨:オフライン保存方法とハードウェアウォレットの使用
-
AIツールによるウォレットファイルのアクセスを許可しないでください
- ❌避けるべき:ウォレットファイルをパブリックディレクトリに配置したり、AIに読み取り権限を付与したりすること。
-
取引には別のデバイスをご使用ください
- ✅推奨:取引デバイスに実験的なAIツールをインストールしないでください。AI使用デバイスと取引デバイスを分けてください。
-
不明なAIプラグインやスキルをインストールしないでください
- 🧐特に:非公式なソースからのプラグイン、未検証のGitHubプロジェクト、またはシェルスクリプトを実行する必要があるツール
- ⚠️攻撃者は、マルウェアをインストールするために、偽のプラグイン、偽のツール、偽のアップデートプログラムをよく使用します
-
KuCoinのすべてのセキュリティ機能を有効化する
- ログインパスワード、取引パスワード、2段階認証、およびPasskey認証を含みます。これらの対策はリスクを効果的に軽減できます。
-
AIツールにAPIキーを暴露しないでください
- ✅必要に応じて、権限を制限し、出金権限を無効にしてください
-
デバイスのセキュリティを定期的に確認してください
- インストールされたソフトウェア、ブラウザプラグイン、異常なログイン活動を含む
⚠️ お忘れなく:システムレベルの権限を持つソフトウェアは、攻撃の入り口となる可能性があります。
特に暗号資産の世界では:mnemonic phrasesや口座の認証情報が漏洩した場合、資産が永久に失われる可能性があります。