プリンストン大学の研究者たちは、最近発表された論文の中で、「十分に調査されていないセキュリティリスク」を持つAIエージェントについて警告を発しています。「偽の記憶を持つ本物のAIエージェント:Web3エージェントに対する致命的なコンテキスト操作攻撃」と題されたこの論文(Ars Technica提供)は、金融分野でのAIエージェントの使用が、資産に極めて大きな危険をもたらす可能性があることを指摘しています。これはすべて、これらのAIエージェントが、安全対策が施されているにもかかわらず、比較的単純な即時攻撃に対して脆弱であるためです。
私たちの多くが熱い砂利をかき分けて日銭を稼ぐ一方で、2025年のAIワイルドウェストでは、Web3に精通した一部の人々がAIエージェントを使って財産を築いています。これには、これらのボットに暗号通貨ウォレットやスマートコントラクトへのアクセスを与え、他のオンライン金融商品と連携させることも含まれます。Wizened Tom's Hardwareの読者は、このような行動に既に首をかしげているでしょう。そして、それには十分な理由があります。プリンストン大学の研究者たちは、AIエージェントの世界を解き放ち、金融資産の移転先を変更する方法などを実証しました。
AIエージェントをアドバイスではなく行動に利用することの危険性を示すため、研究者らはElizaOSフレームワークで使用されているAIエージェントの実例を提示しています。プリンストン大学のチームは、「コンテキスト操作攻撃」を徹底的に分析し、ElizaOSに対する攻撃を検証しています。
上の図は、AIエージェント攻撃の視覚的な表現です。ユーザーが「壊滅的な損失」を被る可能性のある一連の不幸な出来事を示しています。もう一つの懸念は、最先端のプロンプトベースの防御でさえプリンストン大学のメモリインジェクション攻撃には対応できず、これらの偽の記憶が複数のインタラクションやプラットフォームにわたって存続する可能性があることです。
「ElizaOSエージェントは複数のユーザーと同時にインタラクトするように設計されており、参加者全員からのコンテキスト入力の共有に依存していることを考えると、この脆弱性の影響は特に深刻です」と研究者らは説明しています。あるいはこう言い換えることもできます。たった1つの腐った、悪質なリンゴが樽全体を腐らせるのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
何ができるでしょうか?
今のところ、ユーザーはAIエージェントに(金銭的に)機密性の高いデータや権限を委ねるのは控えるべきでしょう。さらに研究者たちは、「(1) LLMの学習手法を進化させて敵対的耐性を向上させること、(2) 厳格な分離性と整合性の保証を強制する原理に基づいたメモリ管理システムを設計すること」という2本柱の戦略が、前進への第一歩となるはずだと結論付けています。
マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることを楽しんでいます。
