a16zクリプトのエンジニアがテスト中に構築したサンドボックスから、AI(人工知能)エージェントが脱出した。 エンジニアは、AIエージェントが脆弱性の特定にとどまらず、実際に有効なエクスプロイトを構築できるかを評価することを目的としていた。
セキュリティエンジニアのデジュン・パーク氏とマット・グリーソン氏は、4月28日に調査結果を公表した。市販のAIエージェントが「明示的に与えられていない」ツールの使い方を自力で突き止めた事例を強調した。
この発見は、イーロン氏が「AIは人類を滅ぼす可能性がある」と衝撃的な発言をしたタイミングと重なった。
AIエージェントが“脱出”した経緯
エンジニアはエージェントを制約を設けた環境に配置した。Etherscanへのアクセスは制限し、ローカルノードも特定のブロックに固定した。チームは外部ネットワークへの接続もすべて遮断した。
このサンドボックス構成は、将来のデータ取得を防ぐことを目的として設計されていた。サンドボックス環境内でのテスト中、エージェントはソースコードのない未検証のターゲットコントラクトに行き当たった。
そこでエージェントは「cast rpc anvil_nodeInfo」を使い、ローカルのanvilノード設定を照会した。この操作で、上位のRPC URLと平文のAlchemy APIキーが露呈した。エージェントは外部アクセスを試みたが、Dockerファイアウォールによって要求は遮断された。
ファイアウォールが直接の外部アクセスを遮断した後、エージェントは「anvil_reset RPCメソッド」を使ってanvilノードを将来ブロックにリセットした。これにより、ローカルのanvilノード経由で将来ブロックのログやトランザクションの照会が可能となった。
その後、エージェントは攻撃トランザクションの実行トレースを取得した。分析を完了すると、AIエージェントはノードを元のブロックに戻し、抽出データに基づく実証可能なPoC(概念実証)を作成した。
パーク氏とグリーソン氏はその後、プロキシをさらに制限し、Anvilのデバッグメソッドを全面遮断した。
「小規模なサンドボックス環境で起きたが、重要なパターンが浮き彫りになった。ツールを活用したエージェントが制約を回避して目的を達成する事例だ」とチームは指摘。「anvil_resetによるピン留めフォークブロックの迂回は予想外だった。」
この事例は、AIテスト環境に内在する主要リスクを示した。エージェントは明示的な指示がなくても、ツールチェーンの予期しない経路を発見・悪用する可能性がある。
一方で調査では、AIエージェントは複雑なDeFiエクスプロイトの実行には依然限界があるとされた。エージェントは脆弱性の一貫した特定には成功したが、多段階攻撃の組み立てには苦戦した。
YouTubeチャンネルに登録し、リーダーや記者による専門的なインサイトを視聴
