Solayer の創業者が警告:AIエージェント用ルーターに悪意のある注入リスクがあり、ETHが盗まれる
Solayerの創業者 @Fried_rice は4月10日にソーシャルメディアに投稿し、大規模言語モデル(LLM)エージェントが広く依存しているサードパーティのAPIルーターに、体系的なセキュリティ脆弱性が存在することを明らかにした。研究のテストでは428台のルーターを対象に調査し、20%以上が、さまざまな程度で悪意のある振る舞い、またはセキュリティ上のリスクを有していることが判明した。そのうち1台は、研究員が保有していた秘密鍵から実際にETHを盗み取った。
研究方法とコア発見:428台のルーターに対するセキュリティテスト
研究チームは、淘宝、閑魚、Shopifyの独立系サイトで購入した28台の有料ルーターと、公開コミュニティから収集した400台の無料ルーターをテストした。テスト手法は、ルーターにAWS Canaryの認証情報と暗号資産の秘密鍵を含むハニーポット(おとり)を仕込み、それらの機微情報をどのルーターが自発的にアクセスしたり悪用したりするかを追跡するというものだった。
テスト結果の重要データ
能動的な悪意ある注入:有料ルーター1台および無料ルーター8台が、悪意のあるコードを積極的に注入している
適応的な回避メカニズム:2台のルーターが、基本的な検出を回避できる適応型トリガーを導入した
認証情報の異常アクセス:17台のルーターが、研究員が保有するAWS Canaryの認証情報に到達した
実際の資産窃取:1台のルーターが、研究員の秘密鍵からETHの窃取に成功した
この2件のポイズニングに関する追加研究は、リスクの規模をさらに示した。漏えいしたOpenAIの鍵は、1億個のGPT-5.4 Tokenおよび7個超のCodexセッションの生成に使用されており、また、より弱い誘引(おとり)を設定した場合には、2億個の課金Token、440を超えるCodexセッションにまたがる99件の認証情報、さらに401件の、自主YOLOモードで稼働していたエージェントセッションを誘発した。
防御フレームワーク:Mine 代理驗證の3種類のクライアント保護メカニズム
研究チームは、Mineという研究用エージェントを構築し、4種類の公開されているエージェントフレームワークに対して、4種類すべての攻撃を実行できることを示すとともに、3種類の有効なクライアント側防御ソリューションを検証した。
フォールトクローズ戦略のゲートは、エージェントがエージェント検知で異常行為を検知した際に、その自律実行の範囲を制限し、悪意のあるルーターに操られたエージェントによる被害の拡大を防ぐ。レスポンス側の異常篩(ふるい)分けは、クライアント側で、ルーターから返された内容を独立して検証し、改ざんされた出力を識別する。追記のみの透明ログ(Append-only Transparent Logging)だけでも、改ざんできない運用監査のトレーサビリティ(追跡可能性)が構築され、異常行為を事後に追跡できるようになる。
研究の核心的主張は、現在のLLMルーターのエコシステムには、暗号による完全性保護の標準化が欠けているため、開発者はサプライヤーの自主規律に依存すべきではなく、クライアント側のレイヤーで独立した完全性検証メカニズムを構築すべきだという点である。
Solayerのエコシステム背景:infiniSVMと3,500万ドルのエコシステム基金
今回のセキュリティ研究の公表の背景として、Solayerは今月1月にすでに3,500万ドルのエコシステム基金の設立を発表しており、infiniSVMネットワークに基づく初期段階および成長段階のプロジェクトを支援する。infiniSVMはSolanaのツールと互換性のあるLayer-1ブロックチェーンで、毎秒33万件(TPS)超のスループットと、約400ミリ秒の最終確認時間をすでに実証している。基金の重点支援領域はDeFi、決済、AI駆動システム、ならびにトークン化された現実世界資産(RWA)プロジェクトであり、成功の測定基準はプロトコル収益と実際の取引量としている。
よくある質問
LLMルーターへの悪意ある注入は、なぜユーザーに気づかれにくいのか?
LLM APIルーターはアプリケーション層のエージェントとして動作し、転送中のJSONペイロードに明文形式でアクセスできる。しかし、現時点で業界には、クライアントと上流モデルの間で暗号による完全性検証を強制する、標準的な要件は存在しない。悪意のあるルーターは、リクエストを転送しながら認証情報を盗んだり、悪意のある指示を埋め込んだりでき、その一連のプロセスはエンドユーザーに対して完全に透明で、目に見えない。
YOLOモードのエージェントセッションが高リスクなシナリオである理由は?
YOLOモードでは、AIエージェントが無人の監督なしに操作を自律的に実行する。研究では、このモードで稼働していた401のセッションが見つかっており、これは、もしエージェントが悪意のあるルーターに制御されると、その自律実行能力が攻撃者によって悪用され、単なる認証情報の窃取を超える潜在的な危害につながり得ることを意味する。連鎖的な自動化された悪意の操作が引き起こされる可能性もある。
開発者は、LLMルーターのサプライチェーン攻撃にどのように備えるべきか?
研究チームは、三層の防御アーキテクチャの採用を推奨している。具体的には、フォールトクローズ戦略のゲートを導入してエージェントの自律実行範囲を制限し、レスポンス側の異常篩分けを有効化して改ざんされた出力を検知する。そして、追記のみの透明ログ(Append-only Transparent Logging)を構築して、運用を追跡可能にする。中核となる原則は、ルーターのサプライヤーの自主規律に依存せず、クライアント側で独立した完全性検証レイヤーを構築することである。