AI(人工知能)エージェント「Grok」に関連する資産管理プラットフォーム「Bankr」において、約15万ドル相当の資産が不正に流出する事件が発生しました。攻撃者はAIに対して悪意のある指示を与える「プロンプトインジェクション」という手法を用い、AIを欺いて送金を実行させたとされています。流出した資産の80%は既に返還されていますが、AIが直接ブロックチェーン上の資産を操作するシステムの安全性が問われる事態となっています。
攻撃の経緯とプロンプトインジェクションの手法
今回の攻撃は、攻撃者が「Grok」のウォレットに対して特定のNFTを贈付(ギフト)することから始まりました。このNFTは、オンチェーンでの資産操作を可能にするツール「Bankr(バンク・アール)」において、AIが送金や交換などの操作を行う権限を有効化する役割を持っていたとされています。
権限を確保した後、攻撃者は細工されたプロンプト(指示文)をAIに送信しました。報告によると、この指示文にはモールス信号などの難読化された手法が用いられており、AIの安全フィルターを回避しつつ、特定のトークン(DRBトークン)を攻撃者のアドレスへ送金するようAIを誘導したと見られます。AIはこの指示を正当なものと解釈し、Bankrを介してオンチェーンでの送金処理を実行したことで、約15万ドル相当の資産が流出しました。
資産の返還とAI・Web3統合における課題
事件発生後、流出した資産のうち80%が既に返還されたことが確認されています。攻撃者は盗み出したトークンをUSDC(米ドル連動型ステーブルコイン)などに交換していましたが、その後の追跡や働きかけにより、大部分の資産が元のウォレットに戻されました。
この出来事は、AIとブロックチェーンを融合させた「DeFAI(分散型AI金融)」と呼ばれる領域において、新たな形態のリスクを浮き彫りにしました。従来のスマートコントラクト自体の脆弱性とは異なり、AIへの入力(プロンプト)を操作することで、人間が意図しない財務操作をAIに強制させる攻撃が成立することが実証された形です。AIが自動的に資産を運用・管理するシステムでは、AI特有のセキュリティ対策が不可欠であるとされています。
ポイント
- 攻撃者はギフトNFTを用いてAIの操作権限を拡張し、不正送金を実行できる状態にした。
- モールス信号などを用いた巧妙なプロンプトにより、AIの安全策をかいくぐって送金指示を認識させた。
- 被害額15万ドルのうち80%に相当する資産が既に返還されており、被害の大部分は回復している。
- AIが直接オンチェーン実行を行うシステムにおける、プロンプトインジェクションという特有の脅威が顕在化した。
- Web3とAIを統合するビジネスにおいて、入力データの検証や権限管理の重要性を再認識させる事例となった。