Anthropicの新しいAIモデル「Mythos」の登場を機に、暗号資産業界のセキュリティ対策が見直されている。これまで主流だったスマートコントラクト中心の監査から、鍵管理や署名基盤、ブリッジ、オラクルを含むインフラ全体へと監査対象が広がりつつある。

暗号資産メディアのCoinDeskが4月25日（現地時間）に報じた。Mythosは既知の脆弱性を見つけるだけでなく、複数システムに散在する小さな弱点を連鎖させ、現実的な攻撃経路として可視化できる点で注目を集めている。

DeFiのセキュリティはこれまで、スマートコントラクトのコード監査に重点が置かれてきた。脆弱性のパターンが蓄積され、主な攻撃手法も比較的整理されていたためだ。

だがMythosの登場後は、監査対象が急速に広がっている。鍵管理システム、署名サービス、ブリッジ、オラクルネットワーク、暗号レイヤーなど、従来は周辺領域とみなされていた部分まで検証の対象になり始めた。

セキュリティ業界では、とりわけインフラリスクを中核的な脅威とみる見方が強い。Gauntletのセキュリティ責任者ポール・ビゼンダー氏は、AIを使った攻撃はスマートコントラクトそのものよりも、人やインフラ層を狙う公算が大きいと分析する。

従来は監査対象の外に置かれていた接続部が、実際の侵入口として浮上しているという。

その一例がVercelの事案だ。Webインフラ企業のVercelでは最近、セキュリティ侵害が発生し、顧客のAPIキーが露出した可能性が指摘された。

同社によると、従業員が利用していたサードパーティー製AIツール「Context.ai」を通じてGoogle Workspaceとの連携が侵害され、これが不正侵入につながった。これを受け、複数の暗号資産プロジェクトが認証情報の差し替えやコードの点検を進めた。

この事例は、スマートコントラクト自体ではなく、運用インフラ側からリスクが広がり得ることを示したケースと受け止められている。

DeFiの構造そのものも、リスクを高める要因とされる。各プロトコルは流動性を共有し、同じオラクルに依存しながら、さまざまな統合レイヤーで接続されているためだ。

こうした高い結合性は成長を支えてきた半面、1つの脆弱性がエコシステム全体へ波及する経路にもなる。最近のHyperbridge攻撃では、クロスチェーンのメッセージ検証の欠陥が悪用され、Ethereum（ETH）上で大量のトークンが発行される事案が起きた。

業界では、AIが新たな攻撃パターンを可視化し始めたとの見方も出ている。これまで資金流出後にしか把握しにくかった多段階の攻撃チェーンを事前に特定できるほか、従来の監査で見落とされていたインフラの脆弱性も検知しやすくなるためだ。

一方で、これを新たな脅威の出現というより、既存の攻撃環境を加速させる要因とみる向きもある。Aave Labsの創業者スタニ・クレチョフ氏は、Web3はもともと資金力と動機を持つ攻撃者にさらされており、AIは攻撃ツールの進化に近いとの見方を示した。

それでも、AIが脆弱性発見の範囲を大きく広げている点は新たな負担になっている。これまで重要度が低いとして見過ごされてきた欠陥まで洗い直され、小さな脆弱性が大規模な攻撃につながる可能性が高まっているためだ。

こうした変化に合わせ、防御の枠組みも変わり始めた。導入前の監査と稼働後のモニタリングを分けていた従来型から、常時監査、リアルタイムシミュレーション、侵害を前提とした設計へと軸足が移り、AIを活用した継続的な防御体制への移行が進んでいる。

実際、AaveはシミュレーションとコードレビューにAIを導入し、人手による監査と組み合わせて運用している。Uniswap Labsの最高経営責任者（CEO）、ヘイデン・アダムス氏も、AIがセキュリティ強化に向けたストレステストのツールになり得る点に注目しているという。

業界が直面している変化の本質は、単に脆弱性を取り除くことではない。AIによって脆弱性の発見と組み合わせが高速化したことで、セキュリティは一度きりの点検ではなく、継続的に適応していく運用体制へと移行しつつある。

その結果、セキュリティ対応力の差が、プロジェクト間の格差をさらに広げる可能性もある。