AIエージェント——ウェブを閲覧し、調査し、買い物をし、暗号資産を取引することさえできる自律的なボット——が研究室から現実のシステムへと移行する中、研究者たちは、依然として深刻な課題が残っていると警告している:プロンプトインジェクション攻撃だ。南洋工科大学、STエンジニアリング、IBMリサーチ、イリノイ大学アーバナ・シャンペーン校からなる複数機関のチームは、現在のエージェントはこれらの攻撃に対して非常に脆弱であり、テストされたすべての設定で一貫した耐性を示すものは存在しないと報告している。 プロンプトインジェクションとは何か? - プロンプトインジェクションは、攻撃者がエージェントが読み取るコンテンツ(ウェブページ、リンク、その他の文書)の中に隠された指示を埋め込むことで発生する。その結果、エージェントはユーザーの意図ではなく、攻撃者の隠された指示に従ってしまう。エージェントが取引の実行やウォレット・取引所とのやり取りといった財務タスクを自律的に実行する場合、これは明確なリスクとなる。 本研究の内容 - 実世界のリスクをより正確に評価するため、研究チームはStakeBenchというベンチマークを開発した。これは、現実的なオンライン環境におけるプロンプトインジェクションに対してAIエージェントを試すものである。StakeBenchは、チームが「間接的プロンプトインジェクション」と呼ぶ、攻撃者がエージェントが遭遇する環境内に悪意のある指示を埋め込むという、実用的な攻撃チャネルに焦点を当てている。 - StakeBenchは、攻撃の影響を変える3つの主要な要因を検証する: 1. 注入された目的とユーザーの元の意図との意味的距離(隠された目標がどれほど類似または異なっているか)。 2. 周囲の環境的手がかりの一貫性(注入されたコンテンツがページやソースに自然に溶け込んでいるか)。 3. エージェントの実行経路のどの段階で初めて注入されたコンテンツに遭遇するか。 実施したテスト - チームは、GPT-5とGemini 2.5-Flashを組み合わせた2つのエージェントフレームワーク(NanoBrowserとBrowserUse)を用いて、3,168回のシミュレーション攻撃を実施した。 主な発見 - すべてのテスト設定において、直接的プロンプトインジェクション攻撃は79%以上の確率で成功した。 - 間接的プロンプトインジェクションの成功率は、文脈と上記3つの要因によって41.67%から68.16%の範囲で変動した。 - 研究者たちは、「隠蔽的寄生」と呼ぶ現象を指摘している。これは、エージェントがユーザーの要求されたタスクを実行しつつ、同時に攻撃者の目的も推進するものである。例えば、推奨を微妙に誘導するといった形だ。暗号資産のシナリオでは、投資家を特定のトークンへと誘導したり、明らかな不正の兆候なしに攻撃者に利益をもたらす取引を実行したりすることが含まれる。 暗号資産における重要性 - 自律的エージェントは、市場データの解析、取引の実行、ウォレット管理、DeFiプロトコルとのやり取りにますます使用されている。したがって、プロンプトインジェクションの脆弱性は明確な攻撃面を生み出す。例えば、バイアスのかかったトークン推奨や操作されたポートフォリオ再バランス、機密情報の漏洩、不正な取引などが該当する。 - 研究者たちは、プロンプトインジェクションのリスクは「被害者依存的」であると強調している。同じ攻撃手法でも、エージェントが誰または何のために行動しているかによって結果は大きく異なり、その影響は基礎となる言語モデルだけでなく、意味的整合性とシステムアーキテクチャによって決定される。 背景と過去の事例 - 本研究は、これまでに発表された複数の実世界事例に続くものである。マイクロソフトは2月にAI要約リンク内に隠された指示について警告し、グーグルは4月にウェブページによるプロンプトインジェクション攻撃がエージェントに機密情報の漏洩や支払い送信を強制しようとしていることを説明した。またマイクロソフトは最近、AnthropicのClaude Code GitHub Actionに存在するプロンプトインジェクションの脆弱性を公表し、これによりユーザーの認証情報が漏洩する可能性があった。 結論 - プロンプトインジェクションに対するセキュリティは、モデル単体の特性ではなく、ステークホルダー、タスクの整合性、展開文脈によって影響される多次元的な危害分布である。自律的エージェントに資金やウォレット認証情報の管理を委ねている暗号資産プラットフォームやトレーダーにとって、この研究は警告である。資金や認証情報の制御をエージェントに委ねる前に、StakeBenchのような厳密で文脈に配慮した評価とより強固な防御策が必要である。
研究により、AI暗号エージェントがプロンプトインジェクション攻撃に脆弱であることが明らかに
ChainGPT共有
概要
ある研究により、AI暗号エージェントがプロンプトインジェクション攻撃に脆弱であることが判明し、CFTへの懸念が高まっています。南洋工科大学、STエンジニアリング、IBMリサーチ、イリノイ大学アーバナ・シャンペーン校の研究者たちは、StakeBenchを用いてこれらのエージェントをテストしました。その結果、直接攻撃の成功率は79%、間接攻撃の成功率は41.67%~68.16%であることが明らかになりました。隠蔽された寄生行為の脅威は、流動性および暗号市場にリスクをもたらします。攻撃者はトークンを押し付けたり、不正な取引を実行したりする可能性があります。研究チームは、金融導入前に文脈に配慮したセキュリティの実装を呼びかけています。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。