メインコンテンツまでスキップ

MoonPay x Ledger:初のハードウェア保護型 AI エージェントウォレットがすべてを変える理由

· 約 13 分
Dora Noda
Dora Noda
Software Engineer

OpenAI のエンジニアによって構築された AI エージェントが、310 ドル相当の SOL を求めた X 上の見知らぬ人物に、誤って 45 万ドル相当のトークンを送金してしまいました。ハッキングも脆弱性の悪用もありません。ただのセッションリセット、ガードレールの欠如、そして取り消し不可能なブロックチェーン取引でした。2026 年 2 月の Lobstar Wilde 事件は警鐘を鳴らしました。もし自律型エージェントが実際のお金を扱うのであれば、業界には根本的に異なるセキュリティモデルが必要です。

2026 年 3 月 13 日、MoonPay はその答えを提示しました。同社の CLI ウォレットは Ledger ハードウェアサイナーのネイティブサポートを開始しました。これにより、MoonPay エージェントは、実行前にすべてのオンチェーン取引が物理デバイスを通過しなければならない、世界初の AI エージェントプラットフォームとなりました。非公開鍵がエージェントのランタイムに触れることはありません。エージェントが提案し、人間が決定します。

45 万ドルの教訓:ソフトウェアのみのエージェントウォレットが不十分な理由

Lobstar Wilde は暴走した AI ではありませんでした。それは OpenAI の開発者である Nik Pash 氏によって作成された、独自のトークン財務を管理するために設計された自律型の Solana トレーディングエージェントでした。2026 年 2 月 22 日、「Treasure David」という名の X ユーザーが、叔父の治療費のためとして 4 SOL(約 310 ドル)をエージェントに求める返信を投稿しました。

エージェントはそれに応じましたが、4 SOL ではなく 5,240 万 LOBSTAR トークン(約 44 万 2,000 ドル、トークン総供給量の 5% に相当)を送金してしまいました。事後分析では、セッションのリセットによってエージェントの配分制限に関する認識が消去されたことが指摘されました。一部の分析者は、エージェントがトークンの単位を混同し、52,439 トークンを送るつもりが、余分に 3 つのゼロを付けてしまったと考えています。

非公開鍵は盗まれていません。エージェントは正当な署名権限を持ち、それを行使しました。ただ、壊滅的に間違っていただけです。受取人は、この騒動によって価格が 190% 急騰する前に、トークンの一部を約 4 万ドルで売却しました。

この事件は、業界が理論的に議論してきた問題を浮き彫りにしました。**「直接的な鍵アクセスを持つ AI エージェントは、無制限の負債である」**ということです。ブロックチェーンの取引は取り消し不可能です。一度のハルシネーション(幻覚)、プロンプトインジェクション、またはロジックエラーが、ウォレットを永久に空にする可能性があります。

セキュリティのスペクトラム:ホットキーからハードウェアサイナーまで

暗号資産(仮想通貨)業界は、AI エージェントウォレットを保護するための 3 つの異なるアプローチに集約されており、それぞれ自律性と安全性のトレードオフが異なります。

ソフトウェア管理キー(ホットウォレット)

最もシンプルなアプローチは、ソフトウェアに保存された非公開鍵への直接アクセスをエージェントに与えることです。これにより完全な自律性が可能になり、エージェントは人間の介入なしに取引に署名し、ブロードキャストできます。しかし、これは最も危険でもあります。侵害されたエージェント、漏洩した環境変数、またはプロンプトインジェクション攻撃により、ウォレットは開かれた金庫へと変わります。これは事実上 Lobstar Wilde が使用していたものであり、その結果は見ての通りです。

信頼実行環境(TEE)

2026 年 2 月 11 日に開始された Coinbase の Agentic Wallets は、中間的な立場を象徴しています。非公開鍵は信頼実行環境(TEE)内に保存されます。TEE は、鍵をエージェントの LLM プロンプトやアプリケーションロジックから分離しておくハードウェア隔離されたエンクレーブです。エージェントは TEE に取引の署名を指示できますが、鍵自体を取り出すことはできません。

このアーキテクチャは鍵の盗難を軽減しますが、依然として完全に自律的な取引実行を可能にします。もしエージェントの意思決定がプロンプトインジェクションや敵対的入力によって侵害された場合、TEE はエージェントが要求したものを忠実に署名してしまいます。鍵は安全ですが、取引が必ずしも健全であるとは限りません。Coinbase の x402 プロトコルは、このモデルを使用してすでに 5,000 万件以上のマシン間取引を処理しています。

ハードウェアサイナー承認(MoonPay + Ledger)

MoonPay の新しい統合は、最も保守的な立場を取っています。Ledger デバイス上での物理的な人間の承認なしには、いかなる取引も実行されません。 エージェントは、複数のチェーンにわたる戦略、ルーティング、および取引の準備を担当します。しかし、署名の段階になると、取引の詳細が Ledger の信頼できるディスプレイに表示され、人間が物理的に確認する必要があります。

これは、マルウェアがクリックできてしまうようなソフトウェアの確認ダイアログではありません。Ledger のセキュアエレメントチップが、隔離されたファームウェア内で署名を処理します。非公開鍵は、エージェントのメモリ、ホストコンピュータのメモリ、またはどのようなソフトウェア環境にも存在しません。MoonPay CLI バージョン 0.12.3 で利用可能なこの統合は、USB で接続されたすべての最新の Ledger デバイス(Nano S Plus、Nano X、Nano Gen5、Stax、Flex)をサポートしています。

デフォルトでマルチチェーン:アーキテクチャの仕組み

MoonPay の実装において技術的に印象的な側面の 1 つは、マルチチェーンエージェント機能です。このシステムは、Base、Solana、Arbitrum、Polygon、Optimism、BNB Chain、Avalanche をサポートしており、エージェントが単一のワークフローでチェーン間を移動できる自動 Ledger アプリ切り替え機能を備えています。

一般的なフローは以下の通りです:

  1. 戦略の策定: AI エージェントが市場状況を分析し、一連のアクション(USDC を Arbitrum から Base へブリッジし、ETH にスワップしてから流動性を提供するなど)を決定します。
  2. 取引の準備: エージェントが各取引を構築し、最適なルートを選択してガス代を計算します。
  3. Ledger ルーティング: 各取引が Ledger サイナーにルーティングされます。デバイスは、手動の操作なしで正しいチェーンアプリ(Ethereum、Solana など)に自動的に切り替わります。
  4. 人間による検証: ユーザーが Ledger の信頼できるディスプレイで取引内容を確認し、物理的に承認または拒否します。
  5. ブロードキャスト: ハードウェアでの承認が得られた後にのみ、署名された取引がネットワークに送信されます。

このアーキテクチャは、最も重要な瞬間(取り消し不可能な価値移転の時点)に壊れない人間のチェックポイントを作成しながら、インテリジェントなポートフォリオマネージャーとして機能するエージェントの能力を維持します。

大局的な視点:AI エージェントは人間のトランザクターを上回る

MoonPay と Ledger の統合は、AI エージェントが暗号資産トランザクションの支配的な勢力になるという業界の広範な確信の中で実現しました。2026 年 3 月 9 日、Brian Armstrong 氏(Coinbase CEO)と CZ 氏(Binance 創設者)の両名は、AI エージェントが最終的に人間よりもはるかに多くのトランザクションを処理するようになるだろうと、それぞれ独立して主張しました。

Armstrong 氏の論理は単純明快です。AI エージェントは銀行口座を開設したり KYC(本人確認)を通過したりすることはできませんが、暗号資産ウォレットを所有することはできます。暗号資産は、マシン・ツー・マシンの商取引における自然な決済基盤となります。CZ 氏はさらに踏み込み、エージェントが最終的に「人間の 100 万倍の支払いを行う」ようになると予測しました。

インフラの構築はこの確信を反映しています。Coinbase のエージェンティック・ウォレットは、マシン・ツー・マシン決済のスピードと完全な自律性を優先しています。Circle のプログラマブル・ウォレットは、エンタープライズ展開向けのソフトウェアベースのキー管理を提供しています。Alchemy は、運用残高を維持する必要があるエージェント向けに、Base USDC の自動トップアップ(補充)システムを構築しました。

しかし、Lobstar Wilde の事件や、Gartner による 2025 年 6 月の予測(コストと不適切なリスク管理により、2027 年末までに 40% 以上のエージェント型 AI プロジェクトがキャンセルされる可能性がある)は、完全な自律性は時期尚早である可能性を示唆しています。MoonPay と Ledger のモデルは移行期のアーキテクチャを提案しています。つまり、エージェントに自律的に思考させつつも、不可逆的な財務アクションには人間の承認を必要とするというものです。

信頼の架け橋としてのハードウェアセキュリティ

エージェントの自律性と人間の監視の間の議論は、二者択一ではありません。ユースケースによって、求められるセキュリティモデルは異なります。

  • 高頻度のマイクロペイメント(API コール、データ購入、コンピュート・レンタル):TEE ベースの自律的な署名が理にかなっています。トランザクションの価値は小さく、リスクは限定的であり、人間の承認は許容できない遅延を生じさせるためです。
  • ポートフォリオ管理とトレーディング(スワップ、ブリッジ、流動性提供):ハードウェア署名による承認が適切なバランスを提供します。トランザクションの価値は大きく、タイミングは重要ですがミリ秒単位の緊急性はなく、壊滅的なエラーのコストは高くなります。
  • トレジャリー業務(高額送金、コントラクトのデプロイ):ハードウェア署名者とタイムロックを備えたマルチシグ(多重署名)スキームが適切です。単一のエージェントや人間が一方的な権限を持つべきではありません。

MoonPay の Ledger 統合は中間層をターゲットにしています。つまり、アルゴリズムに無制限の署名権限を委ねることなく、AI によるポートフォリオ管理を支援してもらいたいと考える、成長中のユーザー層です。エージェント経済が成熟するにつれ、ハードウェアウォレットメーカーは、単純なトランザクション確認を超えて、ポリシーの適用、支出制限、異常検知などを含む、エージェント専用のファームウェアや承認ワークフローを構築することが期待されます。

次に来るもの

MoonPay と Ledger の発表は最初の一歩であり、最終的な答えではありません。いくつかの未解決の疑問が残っています。

スケーラビリティ vs セキュリティ:エージェントが単一の戦略で複数のチェーンにわたって数十のトランザクションを実行する必要がある場合、ユーザーはそれら一つひとつを個別に承認することに耐えられるでしょうか。事前に承認されたトランザクションタイプに対するバッチ承認メカニズムや、ポリシーベースの自動署名は避けられないと思われます。

規制上の分類:AI エージェントが取引を提案し、人間がハードウェアでそれを承認した場合、誰が規制上の責任を負うのでしょうか。エージェントの開発者でしょうか。ウォレットプロバイダーでしょうか。それともボタンを押したユーザーでしょうか。SEC と CFTC の新しい「Project Crypto」共同枠組みでは、AI が開始するトランザクションについてはまだ言及されていません。

標準の断片化:MoonPay は Ledger の署名を使用し、Coinbase は TEE を使用し、EIP-7702 はスコープを限定したエージェント権限のためのセッションキーを導入しています。相互運用性の標準がなければ、エージェントウォレットのエコシステムは、互換性のないセキュリティのサイロに断片化するリスクがあります。

細部は不明確でも、方向性は明らかです。暗号資産業界は、ほとんどのトランザクションがマシンによって開始される世界に向けた金融インフラを構築しています。問題は、エージェントが資金を管理するかどうかではなく、移行期間中にどれだけの人間による監視を維持し、効率性と安全性の境界線をどこに引くかということです。

MoonPay と Ledger は、ハードウェア署名者にその境界線を引きました。Lobstar Wilde に起こったことを考えれば、その判断は賢明であると言えます。

BlockEden.xyz は、Base、Solana、Arbitrum、Polygon など、MoonPay エージェントがサポートするのと同じチェーン向けに、エンタープライズグレードの RPC および API インフラストラクチャを提供しています。AI 駆動型のトレーディングエージェントを構築している場合でも、マルチチェーン dApp を構築している場合でも、当社の API マーケットプレイスを探索して、信頼性の高い低遅延のノードアクセスでバックエンドを強化してください。

Share on Twitter