KuCoin Learn
ログイン登録

「あなたのAIアシスタント——それとも偽装したトロイの木馬?」

初級最終更新 February 26, 2026
暗号通貨アカウントのセキュリティ
“Your AI Assistant—or a Trojan in Disguise?”
AIは私たちのデジタルライフを急速に変革しています。
 
より多くのユーザーが、ローカルコンピューターに接続されたAIアシスタントの利用を始めています。これにより、AIはファイルの自動整理、トレードの分析、メールの処理、さらにはウォレットや取引ツールへの接続まで行えるようになっています。AIは「チャットツール」から、システムレベルの操作権限を持つ「デジタルエージェント」へと進化しています。
 
しかし、効率が向上する一方で、新たなリスクが静かに浮上しています。AIがあなたのシステムにアクセスすると、それがハッカーによる口座への侵入経路となる可能性があります。暗号資産利用者にとって、これはプライバシーのリスクにとどまらず、口座の乗っ取りや資金の損失につながる可能性があります。

I. AIがシステム権限を持つ場合、あなたのすべての秘密が暴露される可能性があります

  1. ローカルにデプロイされた多くのAIアシスタントは、本質的にローカルファイルを読み取り、システムコマンドを実行し、ブラウザデータにアクセスし、APIを呼び出し、ウェブサイトに自動ログインし、ウォレットまたは取引ツールを操作できます。
  2. これにより、mnemonic phrases、private key files、取引パスワード、メール認証コード、APIキー、ブラウザに保存された口座認証情報、ローカルドキュメント、スクリーンショット、その他の機密情報にアクセスできるようになります。AIツールに悪意のあるコードが組み込まれると、これらの情報は静かに盗まれる可能性があります。
  3. AIベースの攻撃の特徴:
  • 攻撃のプロセスは非常に隠蔽されており、ポップアップや警告、異常な通知は一切ありません。
  • 悪意のあるプログラムがバックグラウンドで実行されます:データを静かに収集し、攻撃者に静かに送信し、適切な瞬間を静かに待ちます
ユーザーはしばしば異常には気づかない一方で、攻撃者はすでに口座を完全に制御している可能性があります。

II. 悪意のあるAIプラグインはウォレットおよび取引所口座のデータを盗む可能性があります

🔎 セキュリティ研究者たちは最近、1つのAIアシスタントプラグインエコシステム内で、

  • 300以上もの悪意のあるAIプラグインが特定されました。

    ボットが検出した悪質な爪スキル 341 個
  • 悪意のあるプログラムは、ブラウザのパスワード、暗号ウォレットデータ、SSHキー、APIキー、ローカルファイル、チャット記録を盗むことができます。
  • 一部の悪意のあるプログラムには、キーロギング機能、リモートコントロール機能、バックドアアクセス機能が備わっています。
  • 攻撃者はウォレットファイルを直接読み取り、取引所のログイン資格情報を取得し、メール認証コードをキャプチャし、アカウントのパスワードをリセットし、最終的に資産を振替することができます。
‼️ このプロセス全体にはユーザーのアクティブな承認は必要ありません。

III. AIアシスタントが攻撃者の新しい標的となっている理由

理由は単純です。AIアシスタントは、通常のソフトウェアよりも高い権限と広範なデータアクセスを持っています。従来のマルウェアは限られたデータしか盗めません。
ただし、AIエージェントは、ファイルシステム、ブラウザ、メール、ウォレット、チャット履歴、およびAPI権限を含むものにアクセスできます。
これらは必須です:システム管理者レベルのアクセス権を持つ自動実行ツールです。これらが侵害されると、攻撃者があなたのコンピュータ全体を制御したのと同等になります。

IV. 暗号資産ユーザーが直面する実際のリスク

AIアシスタントに悪意のあるプログラムが組み込まれた場合、攻撃者は以下を取得する可能性があります:
  1. メンニックフレーズの漏洩:メンニックフレーズ = ウォレットの完全な管理権。攻撃者はウォレットを復元し、すべての資産を振替できます。
  2. 取引所口座の乗っ取りにより、攻撃者はログインパスワード、メール認証コード、APIキーを入手できます。その後:口座にログイン ➝ セキュリティ設定を変更 ➝ 資産を出金および振替
  3. APIキーの盗難により、攻撃者は取引を実行し、悪意のある注文を作成し、口座の資金を操作できます。
  4. メールアカウントの不正アクセス メールは口座セキュリティの核です。攻撃者は以下のような行動を取ることができます:取引所のパスワードをリセット ➝ 複数の口座を乗っ取る

V. 口座セキュリティを守るための7つの重要な対策

アカウントと資産のセキュリティを守るため、以下のセキュリティ原則を厳守してください:
  1. mnemonic phraseやプライベートキーをAIツールに保存しないでください 
    • ❌避けるべきこと:mnemonic phraseをAIチャットに入力すること、コンピューター上でmnemonic phraseをプレーンテキストで保存すること、mnemonic phraseをローカルファイルに保存すること
    • ✅推奨:オフライン保存方法とハードウェアウォレットの使用
  2. AIツールによるウォレットファイルのアクセスを許可しないでください
    • ❌避けるべき:ウォレットファイルをパブリックディレクトリに配置したり、AIに読み取り権限を付与したりすること。
  3. 取引には別のデバイスをご使用ください
    • ✅推奨:取引デバイスに実験的なAIツールをインストールしないでください。AI使用デバイスと取引デバイスを分けてください。
  4. 不明なAIプラグインやスキルをインストールしないでください
    • 🧐特に:非公式なソースからのプラグイン、未検証のGitHubプロジェクト、またはシェルスクリプトを実行する必要があるツール
    • ⚠️攻撃者は、マルウェアをインストールするために、偽のプラグイン、偽のツール、偽のアップデートプログラムをよく使用します
  5. KuCoinのすべてのセキュリティ機能を有効化する
    • ログインパスワード、取引パスワード、2段階認証、およびPasskey認証を含みます。これらの対策はリスクを効果的に軽減できます。
  6. AIツールにAPIキーを暴露しないでください 
    • ✅必要に応じて、権限を制限し、出金権限を無効にしてください
  7. デバイスのセキュリティを定期的に確認してください 
    • インストールされたソフトウェア、ブラウザプラグイン、異常なログイン活動を含む
⚠️ お忘れなく:システムレベルの権限を持つソフトウェアは、攻撃の入り口となる可能性があります。
特に暗号資産の世界では:mnemonic phrasesや口座の認証情報が漏洩した場合、資産が永久に失われる可能性があります。

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.