SlowMistは、AI取引エージェントが即時注入攻撃によってハッキングされ、資金を流出させる可能性があると警告している。
AIエージェントの利用はトレーダーの間でますます普及している。 しかし、SlowMistは考えられる攻撃経路に関する調査結果を共有し、悪意のある攻撃者から身を守るためにユーザーに注意を促している。
トレーダーは、AIエージェントに付与する権限を制限するよう警告されている。AIエージェントは非常に簡単に侵害される可能性があるためだ。アクセス権限を制限すれば、たとえハッキングされたとしても、被害を最小限に抑えることができる。.
ハッカーはAIエージェントを騙してあなたのお金を盗むことができるのでしょうか?
通常、ハッカーはユーザーを騙してリンクをクリックさせ、金銭を脅し取る必要があった。しかし今では、使用されているAIエージェントを騙すだけで済むようになった。.
Cryptopolitan先日、 Solana と報じたdentものかどうかは不明である。
Polymarketは先日、サードパーティの認証プロバイダーであるMagic Labsに関連するセキュリティ侵害が発生したことを確認した。この侵害により、二段階認証が有効になっていたにもかかわらず、複数のユーザーアカウントから資金が不正に引き出された。被害総額は50万ドルを超えると推定されている。
この事件はdent年12月に発生し、SlowMistのCISOである23pdsが、Polymarketアカウントを侵害するように設計されたコードを含む悪意のあるコピートレードボットをGitHub上で発見した。
つい最近、SlowMistは、最も危険な新兵器は間接プロンプト注入。
これは、BitgetのAgent HubやオープンソースのOpenClawのようなスキルエコシステムにおいて特に効果的です。.
SlowMistの研究者たちはClawHubを監視した結果、利用可能なプラグインの約10%に2段階マルウェア。最初の段階は正規のものに見えたが、インストールされるとマルウェアがダウンロードされ、ローカルマシンの情報、ブラウザのCookie、SSHキーなどが抜き取られる。
AIエージェントが24時間365日稼働している場合、こうした窃盗行為は数週間も検知されないままになる可能性がある。.
Oasis Securityが最近発表した2026年のレポートでは、ClawJacked(CVSS 8.0以上)と呼ばれる深刻な脆弱性がdentされました。この脆弱性により、悪意のあるウェブサイトがブラウザで簡単にアクセスするだけで、ユーザーのローカルで実行されているAIエージェントを乗っ取ることができます。.
AIエージェントの損失を回避する方法
Bitgetのセキュリティチームのレポートでは、「最小権限」を重視した5層セキュリティシステムが提案されています。AIエージェントがチャート分析のみを行うのであれば、取引を実行する権限は与えるべきではありません。また、取引を行うのであれば、出金する権限は決して与えてはなりません。.
まず、パスキー(FIDO2/WebAuthn)を主要なログイン方法とすべきです。パスキーは公開鍵暗号方式を採用しているため、フィッシング攻撃は不可能です。.
たとえ攻撃者がユーザーを偽のログインページに誘導できたとしても、ハードウェアによるセキュリティ対策によってdent情報が漏洩することはなく、アカウントは不正アクセスから保護されます。.
第二に、トレーダーはメインアカウントのAPIキーを使用するのではなく、AIエージェント専用のサブアカウントを作成し、必要な資金のみをこれらのサブアカウントに送金するべきです。万が一情報漏洩が発生した場合でも、ユーザーは影響を効果的に抑えることができます。.
IPホワイトリストは、特定の承認済みサーバーアドレスからのコマンドのみを交換所が受け入れるようにする、あらゆる自動化設定において既に必須の手順となっています。.
AIエージェントのユーザーは、日常業務中に機密性の高いローカルファイルを読み取ったり登録したりしないように、.agentignorefilesを実装する必要があります。.
報告書はまた、高額な取引においては、人的監視が不可欠であることを強調している。.
ハッキングなどのリスクがなくても、AIを完全に「放置」することは、経済的なリスクを伴う。.
たNov1.aiの実験では、GPT-5が「分析麻痺」に陥り、2週間で資本の60%以上を失った一方、Geminiは「過剰取引」に陥り、莫大な手数料を積み重ねて利益を帳消しにしてしまったことが明らかになった。
暗号通貨のニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。無料です。
