AI エージェントが秘密鍵を保持すべきではない理由:Coinbase の Agentic Wallet が自律型金融スタックを再定義する
昨年、GitHub 上の Coinbase 独自の AgentKit リポジトリを標的とした高度なサプライチェーン攻撃が発生しました。攻撃者はコードベースへの書き込み権限を取得しました。これは、開発者が AI エージェントの内部に直接秘密鍵を埋め込むために使用していたツールキットと同じものでした。攻撃は被害が出る前に阻止されましたが、業界全体が目を背けていた不都合な真実が明らかになりました。自律的な財務エージェントに独自の暗号鍵を保持させることは、時限爆弾であるということです。
2026 年 2 月、Coinbase は「エージェンティック・ウォレット(Agentic Wallets)」の立ち上げにより、明確な一線を画しました。これは、ウォレットのカストディ(保管)とエージェントのロジックを完全に分離する、根本的に異なるアーキテクチャです。この動きは単なる製品のアップデート以上のものを意味します。第 1 世代の AI エージェント・ウォレットの設計が根本から破綻していたことを認め、4,500 万ドルのセキュリティ事故が 4 億 5,000 万ドル規模になる前に、業界がその修正に奔走していることを示しています。
元罪:エージェント自身が鍵を保持すること
なぜ Coinbase のアーキテクチャ転換が重要なのかを理解するには、第 1 世代のエージェント・ウォレットが実際にどのように機能していたかを知る必要があります。
Coinbase の独自開発ツールキットである AgentKit は、エージェントのコードに直接秘密鍵管理を組み込むことで、AI エージェントに「ウォレット」を与えていました。エージェントが鍵を保持し、エージェントがトランザクションを署名しました。エージェントは、自身が制御する資金に対して、完全に仲介のないアクセス権を持っていました。
この設計は、開発者にとって非常にシンプルで魅力的でした。単に wallet.transfer() を呼び出すだけで、エージェントが送金できるからです。しかし、これはセキュリティ研究者が現在「最後の防衛線における攻撃対象領域(attack surface of last resort)」と呼ぶものを生み出しました。プロンプトインジェクションを通じてエージェントの推論を侵害できれば、そのウォレットを空にできてしまうのです。
プロンプトインジェクション攻撃は、一見正当に見えるチャネル(エージェントが訪問するウェブページ、呼び出す API からのレスポンス、さらには処理する巧妙に作成されたドキュメントなど)を通じて、エージェントに悪意のある指示を送り込むことで機能します。独自の秘密鍵を保持しているエージェントは、たった一度のプロンプトインジェクションの成功で、所有するすべての資産を攻撃者が管理するアドレスに送信してしまうリスクにさらされています。
2026 年までに、これはもはや理論上のリスクではなくなりました。セキュリティ企業は、自律型 AI エージェントを導入している組織の 88% が、確認済みまたは疑いのあるセキュリティ事故を経験したと報告しています。プロトコルレベルの弱点により、自律型 AI トレーディングエージェントに関連して 4,500 万ドル以上の損失が発生しました。ほぼすべてのケースにおいて最も危険な攻撃ベクトルは、鍵を自ら保持するエージェントから資金を盗むことを目的としたプロンプトインジェクションでした。
エージェンティック・ウォレットへの移行:鍵を TEE に抽象化する
Coinbase の回答は、後から考えれば当然と思えるようなアーキテク�チャ上の決断を下すことでした。それは「エージェントは秘密鍵に一切触れるべきではない」というものです。
エージェンティック・ウォレット(Agentic Wallet)は、根本的に異なるモデルを導入しています。鍵管理をエージェントのコードに組み込む代わりに、秘密鍵は「信頼実行環境(TEE)」の内部にのみ存在します。これは Coinbase のインフラレベルにある特殊なハードウェア・エンクレーブであり、Coinbase 自身のサーバーを含む他のすべてから暗号学的に隔離されています。
AI エージェントがトランザクションを署名する必要がある場合、鍵にアクセスすることはありません。代わりに TEE に承認リクエストを送信し、TEE は隔離された状態で署名操作を実行し、署名済みトランザクションのみを返します。秘密鍵がエンクレーブから出ることはありません。エージェントの LLM がそれを見ることもありません。エージェントの推論レイヤーが完全に侵害された攻撃者であっても、鍵を抽出することは不可能です。
Coinbase のセキュリティチームは、このシステムを「ディスク上に秘密鍵を置くだけの場合よりも、数桁安全である」と説明しています。これはマーケティング用語ではなく、真のアーキテクチャ上の飛躍です。v2 Server Wallet の実装では、アカウントの秘密鍵が「エンクレーブ内でのみ排他的に暗号化・復号され、TEE から外に出ることはない」ことが保証されています。
この転換は、開発者の体験も変えます。開発者は、鍵管理をエージェントのコードに統合するのではなく、CLI または Model Context Protocol (MCP) を通じてエージェンティック・ウォレットにアクセスします。MCP は、AI ��モデルが外部ツールに接続できるようにするインターフェース標準と同じものです。エージェントは、ウェブ検索ツールやデータベースクエリへのアクセスを取得するのと同じ方法で、基盤となる複雑さを処理する標準化されたインターフェースを通じてウォレットを取得します。
x402 プロトコル:エージェント同士が支払いを行う方法
支払い基準のないウォレットは、単なる金庫に過ぎません。Coinbase の自律型金融ビジョンのもう一つの側面は、x402 です。これは、HTTP 402「Payment Required(支払いが必要)」ステータスコードを復活させ、エージェント間でのリアルタイムなステーブルコイン支払いを可能にするオープンプロトコルです。
その仕組みは単純ですが、洗練されています。AI エージェントが支払いを必要とするサービスを要求すると、サーバーは HTTP 402 と支払い仕様を返します。エージェントはコストを評価し、エージェンティック・ウォレットを通じてオンチェーンで USDC のマイクロペイメントを実行し、支払い領収書を添えてリクエストを再送信します。このやり取り全体が数秒以内に完了し、トランザクションコストは約 0.0001 ドル、決済時間は 2 秒未満です。
2025 年 5 月の開始以来、x402 は 5,000 万件以上のトランザクションを処理しており、Solana がエージェントによる支払いボリュームの約 65% を占めています。Cloudflare は Coinbase と提携して x402 財団を設立し、2026 年第 3 四半期を目標に v1.0 の仕様策定を進めています。その後は後方互換性が保証される予定です。
実用上の意味は重大です。初めて、AI エージェントがサービスに対して支払うための標準化された方法を手に入れたのです。それは、人間が管理するクレジットカードや OAuth トークンを渡すことによってではなく、エージェントの手の届かないところに鍵を保管するウォレット・アーキテクチャを通じて、自律的なステーブルコイン支払いを実行することによって実現されます。これこそが、実務において「エージェント間コマース」が真に必要としているものです。
エージェントセーフなウォレットに向けた 4 つの競合するビジョン
Coinbase だけがこの問題に取り組んでいるわけではありません。過去 6 か月間で、エージェントウォレットのセキュリティに対して、それぞれ異なるトレードオフを反映した少なくとも 4 つの異なるアーキテクチャアプローチが登場しました。
Coinbase Agentic Wallet(TEE バックエンド): 鍵はハードウェアエンクレーブ内に保持�され、エージェントのロジックから完全に隔離されています。エージェントは、暗号化素材に直接アクセスすることなく、プロトコルレイヤーを介してトランザクションを承認します。最適:キーの隔離が譲れない高価値の自律型オペレーション。
MoonPay + Ledger(人間による検証済みの実行): AI エージェントがリサーチ、ポートフォリオ分析、トレードの構築を担当しますが、すべてのオンチェーン取引には Ledger ハードウェアデバイスでの物理的な確認が必要です。MoonPay は、PayPal、Circle、Ethereum Foundation、Solana Foundation が支援するオープンソースフレームワークである Open Wallet Standard (OWS) もリリースしました。これは、エージェントが複数のチェーンにわたって資金を保持するための統一されたインターフェースを提供することを目的としています。最適:人間の承認が必須であり続けるハイブリッドな人間・AI ワークフロー。
MetaMask + EIP-7702(スコープ指定されたセッションキー): EIP-7702 により、標準的な外部所有アカウント (EOA) が一時的にスマートコントラクトウォレットとして機能し、時間制限、支出上限、承認済みアドレスなどの定義された境界内で、事前承認されたエージェントのアクションが可能になります。「バレットキー(預かり鍵)」モデル:エージェントは運転できますが、時速 25 マイル以下に限られ、トランクを開けることはできません。最適:ユーザーが完全なカストディの譲渡なしに部分的な自律性を求める消費者向けエージェント。
Human.tech Agentic WaaP(プロトコルレベルでの人間による監視): 既存のウォレットインフラに監視��機能を後付けするのではなく、Human.tech の「Wallet as a Protocol (WaaP)」アプローチは、暗号化された人間の承認しきい値をアーキテクチャに直接組み込みます。ポリシーエンジンは、アプリケーションレベルではなくプロトコルレベルで、リスクの高いアクションに対して人間が介在するチェックポイントを強制します。最適:コンプライアンスのために監査可能な人間による監視が必要なエンタープライズ環境。
各アプローチは、リスクが実際にどこに存在するかについての真の洞察を反映しています。Coinbase は、最大限のキーセキュリティを備えた自律的な運用に最適化されています。MoonPay の OWS は、相互運用性と人間の信頼に最適化されています。MetaMask のセッションキーは、完全なカストディの譲渡を行わずに、馴染みのある UX を提供することに最適化されています。Human.tech は、規制コンプライアンスと企業の監査可能性に最適化されています。
なぜこのアーキテクチャが 4,500 万ドルの攻撃対象領域にとって重要なのか
2026 年の AI エージェントのセキュリティ侵害による 4,500 万ドルの被害は、高度な暗号攻撃によって引き起こされたものではありません。それはプロンプトインジェクションによって引き起こされました。つまり、攻撃者が、自身の資金に対して無制限のアクセス権を持つエージェントに悪意のある指示を与えたためです。
Agentic Wallet アーキテクチャは、エージェントの推論とキーアクセス間の直接的なリンクを断ち切ります。攻撃者がエージェントを操作してウォレットを空にしようとしても、TEE バックエンドのアーキテクチャにより、エージェントは一方的にそれを実行することはできません。設定された承認ポリシー内の金額とアドレスに対して署名済みのトランザクションを発行することしかできません。
この設計パターンは、意味のある価値を管理する自律型金融エージェントにとって、実行可能な最小限のセキュリティ標準になる可能性が高いです。問題は、エージェントのロジックをキー管理から切り離すべきかどうかではなく(4,500 万ドルの被害という答えが既に出ています)、エコシステムが成熟するにつれて、どの分離アーキテクチャが勝者となるかです。
開発者インフラへの影響
AgentKit の埋め込みキーモデルから Agentic Wallet のプロトコルベースのアクセスへの移行は、AI エージェントがブロックチェーンインフラと対話する方法における広範な成熟を象徴しています。エージェントは、ウォレットが付属した単なるスクリプトから、洗練された標準化されたインターフェースを備えた第一級のインフラ消費者へと進化しています。
これにより、スタック全体に新たな要件が生じます。エージェントは、承認の決定、ウォレットの監視、および複雑なマルチステップの操作を実行するために、チェーンの状態データへの信頼性が高く低遅延なアクセスを必要とします。人間によるリクエストレートだけでなく、自律的でプログラムによる対話のはるかに高いスループット(BNB Chain だけで 123,000 以上の AI エージェントがデプロイされています)を処理できる API が必要です。
標準化されたエージェントウォレットインターフェース (MCP, x402, OWS) の出現は、2000 年代に REST API が Web 開発を標準化した様子を反映しています。標準インターフェースが確立されれば、その下のインフラレイヤーは上のアプリケーションレイヤーとは独立して最適化できるようになります。
BlockEden.xyz は、200 以上のブロックチェーンネットワークにわたるエンタープライズグレードの API インフラストラクチャを提供します。これは、自律型エージェントがリアルタイムのチェーン状態、トランザクション監視、およびマルチチェーン操作に必要とするデータレイヤーです。API マーケットプレイスを探索 して、マシンスピードのアクセス向けに設計された基盤の上にエージェントインフラを構築しましょう。
次に来るもの
業界が現在取り組んでいる�根本的な問題は、Coinbase の Agentic Wallet のような TEE バックエンドのアーキテクチャがデフォルトになるのか、あるいはセッションキーや人間の承認しきい値のような軽量なアプローチが異なるユースケースで主流になるのかということです。
答えはおそらく「すべて」でしょう。機関投資家向け DeFi、クロスチェーン決済、企業財務管理などの高価値の自律型オペレーションは、最強のキー隔離保証を提供する TEE アーキテクチャに収束するでしょう。消費者向けエージェントは、馴染みのあるユーザーコントロールパターンを維持するセッションキーモデルに惹かれるでしょう。コンプライアンスが重視される企業向けのデプロイメントは、監査可能な人間による監視が組み込まれた WaaP スタイルのアーキテクチャを採用するでしょう。
すでに明らかなのは、「エージェントに秘密鍵を渡すだけ」という当初のアプローチは終わったということです。2026 年に発生した 4,500 万ドルのインシデント、AgentKit を標的とした GitHub サプライチェーン攻撃、そして Coinbase 独自のアーキテクチャの方向転換により、集合的な判断が下されました。自律型金融エージェントと保護されていない秘密鍵の組み合わせは、失敗を待つだけのアーキテクチャです。
エージェントはやってきます。問題は、彼らが使用するウォレットの準備ができているかどうかです。
ソース: Coinbase Agentic Wallets launch · Coinbase CDP Security documentation · x402 protocol · Cloudflare x402 Foundation · MoonPay Open Wallet Standard · Human.tech Agentic WaaP · KuCoin AI agent security breach report