メインコンテンツまでスキップ

Google Cloud の MCP Web3 セキュリティ フレームワーク:AI エージェントによるウォレットの流出を防ぐ方法

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

トークンを自律的に取引し、DeFi ポジションをリバランスし、自身の計算リソース費用を支払う AI エージェントは革命的に聞こえます。しかし、プロンプトインジェクションによって、あなたの全財産が攻撃者に送金されてしまうまでは。Google Cloud が新たに公開した MCP Web3 セキュリティフレームワークは、まさにこの悪夢に対処し、ブロックチェーンと相互作用する Model Context Protocol(MCP)エージェントを保護するためのエンタープライズグレードの設計図を提示しています。

ここでは、このフレームワークが推奨する内容、その重要性、そして Coinbase、Ledger、および台頭しつつある x402 支払い標準などの競合アプローチとの比較について解説します。

問題:ウォレットを持つ AI エージェントは「装填済みの銃」である

自律型 AI とブロックチェーンの融合は、独自の脅威サーフェス(攻撃対象領域)を生み出します。決定論的なコードを実行する従来のソフトウェアとは異なり、大規模言語モデル(LLM)は確率的です。つまり、セッションの途中で騙されたり、混乱させられたり、ハイジャックされたりする可能性があります。これらのモデルが秘密鍵を保持したり、オンチェーン資金の署名権限を持ったりする場合、リスクは「誤回答」から「取り返しのつかない金銭的損失」へとエスカレートします。

数値がその緊急性を物語っています。Anthropic のレッドチームによるテストでは、AI エージェントが 405 件のテスト用スマートコントラクトのうち 207 件の脆弱性を突くことに成功し、シミュレーション上で 5 億 5,000 万ドルの資金を盗み出しました。さらに衝撃的なことに、ブロックチェーンの脆弱性を利用した AI 主導の攻撃は、わずか 1 年間で全攻撃の 2% から 56% 近くにまで急増しました。一方、攻撃者が一見無害なデータに悪意のある指示を埋め込む「プロンプトインジェクション」は、ウォレットアクセス権を持つエージェントにとって最大の攻撃ベクターであり続けており、エージェントに対して攻撃者が制御するアドレスに資金を流出させるよう指示することが可能です。

Google Cloud のフレームワークは、業界が切実にガードレールを必要としているタイミングで登場しました。AI エージェント市場は 520 億ドルを超えると予測されており、すでに何百もの MCP 対応ブロックチェーンツールが実用化されている中で、機能とセキュリティの乖離は危険なレベルに達しています。

カストディアル vs ノンカストディアル:2 つのアーキテクチャとリスクプロファイル

Google のフレームワークの核心は、エージェントとブロックチェーンの相互作用における 2 つの主要なモデルを冷静に分析している点にあります。

カストディアル(管理型)エージェントは、秘密鍵を直接制御します。エージェント(またはそのホスティングプラットフォーム)が資金を保持し、自律的にトランザクションに署名できます。これにより、人間の承認なしに午前 3 時に DeFi ポートフォリオをリバランスするといった、完全な自律運用が可能になります。しかし、その代償は甚大です。エージェントのホストが侵害されれば、委任されたすべてのウォレットが標的となります。カストディアルモデルはプラットフォームレベルにリスクを集中させるため、攻撃者にとって魅力的なハニーポットとなります。

ノンカストディアル(非管理型)エージェントは、トランザクションを作成しますが、署名は行いません。エージェントは未署名のトランザクションを準備し、最終的な承認のためにユーザー(またはハードウェアウォレット)に返します。Google のフレームワークは鋭い指摘をしています。もし MCP サーバーが保持している鍵を使ってトランザクションの準備と署名ができるのであれば、最終的な署名ステップなしで同じロジックを実行できるはずだ、という点です。この「わずかな変更が、より安全で柔軟なパラダイムを解き放つ」ことになります。エージェントは分析能力と戦略能力を維持しつつ、ユーザーは資金移動に対する最終的なコントロールを保持できます。

Google の推奨事項は明確です。可能な限りデフォルトでノンカストディアルを採用し、カストディアルアクセスが真に不可欠な場合には、追加のセキュリティ制御(TEE 分離、支出制限、トランザクションシミュレーション)を重ねることです。

セキュリティスタック:オンチェーンエージェントのための多層防御

単一の特効薬を提案するのではなく、Google は複数の独立した制御が互いの死角を補完し合う多層防御セキュリティアーキテクチャの概要を説明しています。

鍵管理のための TEE 分離

Trusted Execution Environments(TEE)— Intel SGX や AMD SEV などのハードウェアエンクレーブ — は、エージェントのプロンプト、LLM のコンテキストウィンドウ、さらにはホストオペレーティングシステムにさらされることなく秘密鍵が存在できる、物理的に隔離された空間を提供します。あるセキュリティ研究者が述べているように、「物理法則にパッチを当てることはできず、チップをソーシャルエンジニアリングすることもできない」のです。TEE 分離により、たとえエージェントが完全に侵害されたとしても、鍵がハードウェアエンクレーブから離れることがないため、署名鍵を抽出されることはありません。

MoonPay が最近、AI エージェントプラットフォームに Ledger ハードウェア署名を統合したのも、同じ原則に従っています。AI が開始するすべてのトランザクションには物理的なハードウェアでの確認が必要であり、秘密鍵はエージェントの意思決定レイヤーから恒久的に分離されています。

実行前のトランザクションシミュレーション

トランザクションがブロックチェーンに送信される前に、フレームワークはそれをシミュレーション環境で実行することを推奨しています。これにより、エージェントには正当に見えるものの、流動性プールの枯渇、フラッシュローン攻撃の誘発、あるいは正当なプロトコルを装った悪意のあるコントラクトとの相互作用など、意図しない結果をもたらす一連の攻撃を検知できます。

トランザクションシミュレーションは、エージェント自身の誤りに対するサニティチェック(妥当性確認)としても機能します。LLM はパラメータをハルシネーション(幻覚)したり、トークンの小数点以下を誤認したり、技術的には有効でも経済的に壊滅的なトランザクションを構築したりすることがあります。シミュレーションレイヤーは、これらのミスがオンチェーンで取り返しのつかない事態になる前に未然に防ぎます。

レート制限と支出上限

TEE アイソレーションとシミュレーションを利用する場合でも、Google はハードコードされた財務ガードレールを推奨しています。セッションレベルの支出上限は、単一のセッション内でエージェントが取引できる金額を制限します。トランザクションごとの制限により、特定の操作が定義されたしきい値を超えるのを防ぎます。高額取引間のクールダウン期間は、時間的なバッファを追加します。

ClawPay MCP と Coinbase の Agentic Wallets は、すでに同様の考え方を実用化しています。ClawPay は Agent Wallet SDK をラップし、支出制限の強制機能を組み込んでいます。制限を超えたトランザクションは、即座に拒否されるのではなく、人間の承認を得るために自動的にキューに入れられます。Coinbase の Agentic Wallets には、プログラム可能なセッション上限、トランザクション制限、および実行前に高リスクなインタラクションをブロックするコンプライアンス対応の KYT(Know Your Transaction)スクリーニングが搭載されています。

マンデートベースの監査証跡

Google の Agent Payments Protocol(AP2)は「マンデート(Mandates)」を導入しています。これは、ユーザーの指示を証明する、改ざん防止機能付きの暗号署名されたデジタル契約です。すべてのトランザクションには、元のユーザーの意図まで遡ることができる否認防止機能付きの監査証跡が付随します。これは単なるセキュリティの見せかけではありません。規制当局が、自律型エージェントが認可された範囲内で行動したという証明を求める機関投資家の採用において、コンプライアンス上の必須要件となります。

広範なエコシステム:Google のフレームワークの立ち位置

Google のフレームワークは孤立して存在しているわけではありません。これは、2026 年のエージェント型金融のセキュリティ状況を定義する、いくつかの競合および補完的なアプローチとともに登場しました。

Coinbase Agentic Wallets と x402

Coinbase の Agentic Wallets は、完全な自律性のために特別に設計された、スペクトルのカストディアルエンドを代表するものです。これらはエンクレーブアイソレーションを使用して、秘密鍵を安全な Coinbase のインフラストラクチャ内に保持し、エージェントのプロンプトや LLM に決して公開しません。現在 5,000 万件以上のトランザクションを管理している x402 プロトコルと組み合わせることで、エージェントは USDC などのステーブルコインを使用して、API アクセス、計算、データに対して自律的に支払うことができます。

Coinbase と Cloudflare の協力により立ち上げられた x402 Foundation は、マルチチェーンサポートとトークンに依存しない設計を備えたオープン仕様を管理しています。その HTTP 402「Payment Required」メカニズムにより、あらゆる API エンドポイントがレスポンスを返す前に支払いを要求できるようになり、エージェント型インターネットのためのネイティブな支払いレイヤーが構築されます。

Ledger ハードウェア署名

MoonPay の Ledger 統合は、最大限の非カストディアルアプローチを象徴しています。AI エージェントが開始するすべてのトランザクションは、Ledger デバイス上で物理的に承認される必要があります。これにより、プロンプトインジェクションによる資金盗難が完全に排除されます。攻撃者はエージェントへのデジタルアクセスとハードウェアウォレットへの物理アクセスの両方を必要とするためです。トレードオフは、レイテンシと完全な自律性の喪失であり、セキュリティが速度を上回る高価値の操作に最も適しています。

学術的な視点

「ブロックチェーン上の自律型エージェント」に関する 2026 年 1 月の論文は、Google のフレームワークが運用化している信頼の境界を定式化しました。この研究では、侵害された単一のエージェントが、ネットワーク化されたエージェントシステムにおいて 4 時間以内に下流の意思決定の 87% を汚染する可能性があることが判明しました。これは、Google があらゆるレイヤーでのアイソレーションと独立した検証を強調していることの正当性を裏付けています。

ビルダーにとっての意味

ブロックチェーンと相互作用する AI エージェントを構築する開発者にとって、Google のフレームワークは実用的な意思決定ツリーを提供します。

  • 低価値・高頻度の操作(マイクロペイメント、API アクセス、データ取得):支出上限を設定したカストディアルウォレットと支払い用の x402 を使用します。トランザクションあたりのリスクは小さく、完全な自律性による速度の利点がカストディアルモデルを正当化します。

  • 中価値の DeFi 操作(イールド farming、ポートフォリオのリバランシング):トランザクションシミュレーションを備えた TEE アイソレーションによる鍵管理を使用します。エージェントは定義されたパラメータ内で自律的に動作しますが、すべてのトランザクションは実行前に検証されます。

  • 高価値または不可逆的な操作(多額の送金、ガバナンス投票、コントラクトのデプロイ):ハードウェア署名を備えた非カストディアルアーキテクチャを使用します。エージェントが作成と提案を行い、人間(またはハードウェアデバイス)が承認します。

  • マルチエージェントシステム:マンデートベースの監査証跡を実装し、各エージェントの権限範囲を分離します。単一のエージェントの侵害がネットワーク全体に波及しないようにしてください。

また、このフレームワークは「やってはいけないこと」も明らかにしています。LLM のコンテキストウィンドウに秘密鍵を決して公開しないこと、シミュレーションなしでエージェントが構築したトランザクションを決して信頼しないこと、そして基礎となるモデルがいかに「安全」であると主張されていても、レート制限なしでカストディアルエージェントを決してデプロイしないことです。

今後の展望

AI とブロックチェーンの相互作用を保護するための競争はまだ始まったばかりです。Google の MCP Web3 セキュリティフレームワークは、今日までに公開された中で最も包括的な企業向けブループリントですが、脅威の状況はどの文書も追いつけないほど速く進化しています。AI エージェントがより有能になり、より自律的になるにつれて、セキュリティインフラストラクチャも歩調を合わせて拡張する必要があります。

業界はいくつかの主要な原則に収束しつつあります。意思決定と署名権限の分離、ハードウェアに支えられた鍵のアイソレーション、必須のトランザクションシミュレーション、および暗号化された監査証跡です。Google Cloud 上で構築しているか、Coinbase のインフラを使用しているか、あるいは独自のエージェントスタックを構築しているかにかかわらず、これらの原則は譲れないものです。

エージェントが普及しようとしています。問題は、自律型エージェントによる最初の 9 桁規模の不正利用がニュースになる前にガードレールを構築できるか、それとも後になるかです。

ブロックチェーンと相互作用する AI エージェントを構築していますか? BlockEden.xyz は、Sui、Aptos、Ethereum、および 20 以上のチェーンにわたって、エンタープライズグレードの RPC および API インフラストラクチャを提供しています。これは、トランザクションシミュレーション、オンチェーンクエリ、およびリアルタイムのブロックチェーンステータスに必要な、信頼性の高いデータレイヤーです。自律運用のために設計されたインフラストラクチャでエージェントアプリケーションを強化するために、API マーケットプレイスを探索してください

Share on Twitter