概要
- 研究チームは、AIベースの仲介ルーターに悪性コードの挿入や認証情報の窃取など4つの攻撃経路があると明らかにした。
- 一部のルーターでは平文処理によって秘密鍵とシードフレーズが外部に漏れる可能性が確認され、テスト用のイーサリアム(ETH)ウォレットで資産流出の事例も観測された。
- 研究チームは開発者に対し、AI環境で秘密鍵やシードフレーズを直接入力しないことに加え、長期的には暗号学的検証体制の導入などセキュリティー対策の強化を勧告した。
期間別予測トレンドレポート
人工知能(AI)ベースの開発環境で使われる仲介ルーターに、暗号資産の流出につながりうるセキュリティー上の脆弱性があることが分かった。
コインテレグラフが6月13日に報じた。米カリフォルニア大学の研究チームは、大規模言語モデル(LLM)ルーターのサプライチェーンを分析した論文で、悪性コードの挿入や認証情報の窃取など計4つの攻撃経路を確認した。
研究によると、一部のルーターは利用者の要求を転送する過程でデータを平文のまま処理する。このため、秘密鍵やシードフレーズなどの機密情報が外部に漏れる可能性がある。スマートコントラクト開発やウォレット管理でAIコーディングツールを使う場合は、こうしたリスクが一段と高まるという。
実験では、無料ルーター400件と有料ルーター28件を分析した。その結果、一部のルーターが実際に悪性コードを挿入したり、外部の認証情報にアクセスしたりした事例が確認された。研究チームはこの過程で、テスト用のイーサリアム(ETH)ウォレットから資産が流出する事例も観測したと明らかにした。
一見正常に見えるルーターでも、流出した認証情報を再利用したり、利用者の確認なしに命令を実行する設定を通じたりすることで、セキュリティーリスクが生じる可能性があると分析した。
研究チームは、こうした構造的な特性のため悪意ある挙動を事前に見分けるのは難しいと指摘した。ルーターは通常のデータ転送の過程でも機密情報を読み取れるため、情報処理と窃取行為を区別しにくいという。
開発者に対しては、AI環境で秘密鍵やシードフレーズなどの機密情報を直接入力しないなど、セキュリティー対策を強化するよう促した。長期的には、AIの応答に対する暗号学的な検証体制の導入が必要だと提言した。
Suehyeon Lee
shlee@bloomingbit.ioI'm reporter Suehyeon Lee, your Web3 Moderator.
