AI Agents in Cryptoland: Practical Attacks and No Silver Bullet

要約

AIエージェントとWeb3エコシステムとの統合は、自律性と開放性の補完的な可能性を活用していますが、これらのエージェントが金融プロトコルや不変のスマートコントラクトと動的に相互作用するため、露出していないセキュリティリスクも導入します。
このペーパーでは、実際のシナリオで敵対的な脅威にさらされた場合、ブロックチェーンベースの金融エコシステム内のAIエージェントの脆弱性を調査します。
コンテキスト操作の概念を紹介します。これは、入力チャネル、メモリモジュール、外部データフィードなど、保護されていないコンテキスト表面を悪用する包括的な攻撃ベクトルです。
自動化されたWeb3操作の分散型AIエージェントフレームワークであるElizaosの経験的分析を通じて、悪意のある指示をプロンプトまたは歴史的相互作用記録に注入することにより、敵がどのようにコンテキストを操作できるかを示し、意図しない資産の移転とプロトコル違反を財政的に破壊する可能性があります。
私たちの調査結果は、悪意のある入力がエージェントの保存されたコンテキストを破損し、相互作用やプラットフォーム間でカスケードの脆弱性を生み出す可能性があるため、迅速な防御が不十分であることを示しています。
この研究では、安全であり、有益な責任を負うAIエージェントを開発する緊急の必要性を強調しています。

要約(オリジナル)

The integration of AI agents with Web3 ecosystems harnesses their complementary potential for autonomy and openness, yet also introduces underexplored security risks, as these agents dynamically interact with financial protocols and immutable smart contracts. This paper investigates the vulnerabilities of AI agents within blockchain-based financial ecosystems when exposed to adversarial threats in real-world scenarios. We introduce the concept of context manipulation — a comprehensive attack vector that exploits unprotected context surfaces, including input channels, memory modules, and external data feeds. Through empirical analysis of ElizaOS, a decentralized AI agent framework for automated Web3 operations, we demonstrate how adversaries can manipulate context by injecting malicious instructions into prompts or historical interaction records, leading to unintended asset transfers and protocol violations which could be financially devastating. Our findings indicate that prompt-based defenses are insufficient, as malicious inputs can corrupt an agent’s stored context, creating cascading vulnerabilities across interactions and platforms. This research highlights the urgent need to develop AI agents that are both secure and fiduciarily responsible.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google