著者:Chloe、ChainCatcher
先週2月22日、誕生からたった3日だった自律AIエージェント「Lobstar Wilde」が、Solanaチェーン上で異常な送金を実行しました。システムロジックの崩壊による連鎖反応により、約44万ドルの評価額を持つ5,240万枚のLOBSTARトークンが、見知らぬネットユーザーのウォレットに瞬時に転送されました。
この事件は、AIエージェントがチェーン上資産を管理する際の三大致命的な脆弱性を露呈しました:不可逆実行、ソーシャル攻撃、およびLLMフレームワーク下での脆弱なステート管理。Web 4.0のナラティブの波の中で、AIエージェントとチェーン上経済との相互作用をどのように再評価すべきでしょうか?
Lobstar Wildeが44万米ドルの出金を誤って実行
2026 年 2 月 19 日、OpenAI の従業員 Nik Pash は、Lobstar Wildeという名前のAI暗号通貨取引ボットを生成しました。これは高度な自律性を持つAI取引エージェントで、初期資金は5万ドル分のSOLであり、目標は自律的な取引を通じて100万ドルに資金を倍増させ、Xプラットフォーム上でその取引プロセスを全程公開することです。
実験をより現実的にするため、PashはLobstar WildeにSolanaウォレットの操作やXアカウントの管理を含む完全なツール呼び出し権限を与えました。設立当初、Pashは自信を持って次のようなツイートを投稿しました:「Lobstarに5万ドル分のSOLを渡した。絶対にミスしないように注意した。」ㄒ
しかし、この実験はたった3日で失敗に終わった。XユーザーのTreasure DavidがLobstar Wildeのツイートにコメントした。「叔父がエビに挟まれて破傷風になり、4SOLの治療費が必要だ。」その後、ウォレットアドレスを添付した。人間にとっては明らかにゴミ情報であるこの内容が、Lobstar Wildeに極めて異常な判断をさせ、数秒後(UTC時間16:32)、Lobstar Wildeは誤って52,439,283枚のLOBSTARトークンを呼び出した。この送金は当時のトークン総供給量の5%を占め、帳簿上の価値は44万ドルに達した。
深層分析:これはハッキング攻撃ではなく、システムエラーです
事后,Nik Pash 发表了详细的事后分析,表示这不是有人透过“提示词注入”进行恶意操控,而是 AI 一连串操作失误的复合连锁反应。与此同时, 开发者与社群也总结至少两个明确的系统失效节点:
1. 数量級の計算エラー:Lobstar Wilde の元の意図は、4 SOL に相当する LOBSTAR トークンを送信することであり、計算結果は約52,439枚でした。しかし実際には52,439,283が実行され、3桁の数量級が違っていました。XユーザーのBranchは、これがエージェントがトークンの小数点以下の桁数を誤解したため、またはインターフェース層の数値フォーマットの問題である可能性を指摘しています。
2. 状態管理の連鎖的崩壊:Pashの事後分析によると、ツールのエラーによりセッションが再起動し、AIエージェントはログから人格の記憶を復元したものの、ウォレットの状態を正しく再構築できませんでした。簡単に言えば、Lobstar Wildeは再起動後に「ウォレット残高」に関する記憶を失い、「保有総額」を「利用可能な小遣い」と誤認しました。
この事例は、AI Agent アーキテクチャにおける深いリスク、すなわち意味的コンテキストとウォレット状態の非同期性を明らかにしました。システムが再起動した際、LLMはログを通じて人格とターゲットを再構築できますが、チェーン上の状態を再検証するトリガー機構が欠如している場合、AIの自律性は災害的な実行力へと変貌します。
AIエージェントの三大リスク
Lobstar Wilde事件は孤立した事例ではなく、AIエージェントがチェーン上資産を管理した後の3つの根本的な脆弱性を映し出す拡大鏡のようなものである。
1. 不可逆実行:エラー許容メカニズムなし
ブロックチェーンの核心的な特性の一つは改ざん耐性ですが、AIエージェントの時代において、これは致命的な欠点となっています。従来の金融システムには、クレジットカードの返金、銀行振込の取り消し、誤った送金の異議申し立てメカニズムなど、優れたエラー対応設計が整っていますが、AIエージェントはブロックチェーンのアーキテクチャ下ではバッファ層が欠如しています。
2. 攻撃面の開放:ゼロコストのソーシャルエンジニアリング実験
Lobstar Wilde は X プラットフォーム上で動作しており、これは世界中のすべてのユーザーがメッセージを送信できることを意味し、設計上のオープン性である一方で、セキュリティ上の悪夢でもあります。「おじさんがカニに挟まれて破傷風になり、4 SOL 必要」というのは冗談に過ぎませんが、Lobstar Wilde は「冗談」と「正当なリクエスト」を区別する能力を持っていません。
これはAIエージェントにおける社会工学攻撃の拡大効果そのものです:攻撃者は技術的な防壁を突破する必要はなく、AIエージェントが自ら資産を移転するほど十分に信頼できる言語的状況を構築するだけで済みます。さらに懸念されるのは、このような攻撃のコストがほぼゼロであることです。
3. State Management Failure: A Vulnerability More Dangerous Than Prompt Injection
過去1年間のAIセキュリティに関する議論において、プロンプトインジェクションが最も多くの議論を占めてきたが、Lobstar Wildeイベントは、より根本的で対策がより困難な脆弱性のカテゴリを明らかにした:AIエージェント自身のステート管理の失敗。プロンプトインジェクションは外部攻撃であり、理論的には入力フィルタリング、system promptの強化、またはサンドボックス隔離によって緩和可能であるが、ステート管理の失敗は内部問題であり、エージェントの推論層と実行層の間の情報断絶で発生する。
Lobstar Wilde のセッションがツールのエラーによりリセットされた後、それはログから「自分とは誰か」という記憶を再構築したが、ウォレットの状態を同期して検証しなかった。この「アイデンティティの継続性」と「資産状態の同期」の間の分離は大きなリスクである。チェーン上の状態を独立して検証するレイヤーがなければ、セッションのリセットは潜在的な脆弱性となり得る。
150億ドルのバブルからWeb3 x AIの次なる章へ
Lobstar Wilde の登場は偶然ではなく、Web3 x AI のナラティブの波の産物である。AI Agent タークンカテゴリの時価総額は2025年1月初頭に150億ドルを突破したが、その後、市場状況、ナラティブのサイクル、または投機要因などにより急落した。
さらに言えば、AIエージェントの物語的魅力は、自律性と人間の介入を必要としない点に大きく依存しているが、正是この「人間排除」の魅力が、従来の金融システムにおいて災害的なエラーを防ぐために設けられたすべての人的チェックを排除している。より広範な技術進化の視点から見ると、この矛盾はWeb4.0のビジョンと直接衝突している。
Web3の核心的な命題が「分散型資産所有権」であるならば、Web4.0はさらに「スマートエージェントが自律的に管理するチェーン上経済」へと拡張される。AIエージェントは単なるツールではなく、自律的に取引・交渉、さらにはスマートコントラクトに署名できる独立したチェーン上参加者である。Lobstar Wildeは、ウォレット、コミュニティID、自律的な目標を備えたAI人格として、このビジョンの具体的な縮図であった。
しかし、Lobstar Wildeの事故は、「AIエージェントの自律行動」と「チェーン上資産のセキュリティ」の間に、現在成熟した調整レイヤーが欠如していることを示している。Web4.0のエージェント経済を実質的に可能にするためには、大規模言語モデルの推論能力よりもはるかに基礎的なインフラ層の課題を解決する必要がある。これには、エージェント行動のチェーン上監査可能性、対話間の永続的状態検証、および純粋な言語指令駆動ではなく意図に基づくトランザクション認証が含まれる。
一部の開発者は、「人間とAIの協働」の中間形態の探求を開始しており、AIエージェントは小額取引を自律的に実行できるが、特定の閾値を超える操作にはマルチシグネチャまたはタイムロックが必須となる。Truth Terminalは、最初に百万ドル規模の資産を達成したAIエージェントであり、その創設者Andy Ayreyは2024年の設計において明確なガードマンメカニズムを維持していた。現在看来、この設計決定は先見の明があったように思われる。
チェーン上には後悔の薬はないが、ミス防止の設計は可能だ
ロバスター・ワイルドのこの送金は、売却中に深刻なスリッページを経験し、44万ドルの評価額がわずか4万ドルにしか変換されませんでした。しかし皮肉なことに、この予期せぬ出来事はロバスター・ワイルドの知名度とトークン価格を逆に押し上げました。币価が反転すると、当初「安値で売却」されたLOBSTARトークンは、時価総額が42万ドル以上まで回復しました。
この事故は単なる開発ミスと見なすべきではなく、AIエージェントが「セキュリティの深水域」に入ったことを示している。エージェントの推論層とウォレットの実行層の間に有効なメカニズムを構築できなければ、今後、自己管理型ウォレットを所有するすべてのAIが、随时爆発する財務上の爆弾となる可能性がある。
与此同时,部分安全专家也指出、AIエージェントは、クレイジーなメカニズムや大額送金の人的レビューがない状態でウォレットへの完全な制御権を取得すべきではない。チェーン上にはやり直しはできないが、大額操作時にマルチシグをトリガーする、セッションリセット時にウォレット状態を強制的に検証する、重要な意思決定ノードで人的レビューを維持するなどの防呆設計が可能である。
Web3とAIの統合は、自動化をより簡単にすることだけでなく、エラーの代償をコントロール可能にすることも必要です。