ヴィタリック・ブテリン氏は、AIエージェントがユーザーの許可なくデータを盗み、設定を変更する可能性があると警告した。

Ethereum 共同創設者  Vitalik Buterin 現代のAIシステムは深刻なプライバシーとセキュリティのリスクをもたらすと警告し、地域優先のAIインフラへの移行を求めている。 

で 詳細なブログ記事ブテリン氏は、クラウドベースのAIツールは外部サーバーに機密性の高いユーザーデータへのアクセスを許可し、最新のAIエージェントシステムはユーザーの確認なしに、システム設定の変更や外部サーバーへのデータ送信など、ユーザーに何ら目に見える形で通知することなく行動できると述べた。

ブテリン氏が警告しているセキュリティリスクとは何ですか？

ブテリン氏の懸念は、一般的なプライバシー問題にとどまらない。彼は、AIエージェントが実際にどのように動作するかに関連する、具体的で文書化されたリスクを指摘した。

セキュリティ研究者たちは、これらの脆弱性のいくつかを既に実際の状況下で実証している。

• AIエージェントにウェブページの要約を指示したところ、そのうちの1つが悪意のあるページだった。そのページはエージェントにシェルスクリプトをダウンロードして実行するように指示し、外部の第三者がシステムを制御できるようにしていた。
• 一部のエージェントツールは、ユーザーに通知することなくユーザーデータを外部サーバーに送信するサイレントネットワークリクエストを実行することが判明した。
• 研究者らが調査したエージェントスキルの約15％に悪意のある指示が含まれていた。

ブテリン氏は、検出がより困難なリスクについても指摘した。一部のモデルには、特定の条件下で作動し、システムをユーザーではなく開発者の利益のために動作させる、隠れたバックドア、つまりモデルに組み込まれた機能が含まれている可能性がある。 

彼はまた、オープンソースとされているモデルのほとんどは実際には「オープンウェイト」に過ぎず、モデルのパラメータは共有されているものの、内部構造や学習プロセス全体は公開されていないと指摘した。そのため、ユーザーが独自に検証できない未知の挙動が生じる可能性がある。

チャットボットとAIエージェントの違いは何ですか？

ブテリン氏は、現在の状況をAIの利用方法における転換点と位置づけた。初期のAIツールはチャットボットとして機能し、ユーザーが質問をするとモデルが回答を返す。エージェントは異なる。ユーザーがシステムにタスクを与えると、システムは数十、数百ものツールを駆使して、時には長期間にわたり自律的にタスクを完了させる。

この変化は、リスクの範囲を大幅に拡大させる。ウェブを閲覧したり、ファイルを読んだり、メッセージを送信したり、システム設定を変更したりできるエージェントは、質問に答えるだけのシステムに比べて、セキュリティ上の欠陥、操作の試み、あるいは単純なミスなど、あらゆる原因で危害を加える可能性がはるかに高くなる。

ブテリンが独自のローカルAIシステムを構築した方法

ブテリン氏は、クラウドベースのAIツールはすでに使用していないと述べた。彼は自身のシステムを「自己主権型、ローカル、プライベート、そして安全」と表現し、AI推論はすべてローカルハードウェア上で実行され、すべてのファイルはローカルに保存され、すべてのプロセスはサンドボックス内で実行されるという3つの基本原則に基づいて構築されていると説明した。

この文脈におけるサンドボックスとは、プログラムがアクセスできる範囲を制限する隔離されたコンピューティング環境のことである。ブテリン氏はbubblewrapというツールを使用しており、これによってAIツールをディレクトリレベルのサンドボックス内で実行できる。このサンドボックスでは、プログラムはブテリン氏が明示的に許可したファイルのみを参照でき、ネットワークポートへのアクセスやオーディオへのアクセスも制御できる。

有望なプロジェクトを発見...

有望なプロジェクト...

（広告）

記事は続きます…

ハードウェアButerinによるローカルAI推論のテスト

ブテリン氏は、AIモデルをローカルで実行するのに適したハードウェア構成を見つけるため、いくつかの構成をテストした。結果は大きく異なった。

• NVIDIA 5090 GPUを搭載したノートパソコンは、Qwen3.5:35Bモデルを使用して毎秒約90トークンを達成した。
• 128GBの統合メモリを搭載したAMD Ryzen AI Max Proは、毎秒約51トークンに達した。
• デスクトップ型AIスーパーコンピュータとして販売されているDGX Sparkは、毎秒約60トークンの処理能力を達成した。

ブテリン氏は、実用的なパフォーマンスの最低基準を毎秒50トークンとした。それより遅いと実用上は不満が募り、毎秒90トークンが理想的だと述べた。また、DGX Sparkは宣伝文句に比べて性能が劣り、高性能なノートパソコン用GPUよりも速度が遅く、さらに別の作業用デバイスから接続するには追加のネットワーク設定が必要になると指摘した。

彼のソフトウェアスタックの中心はllama-serverというバックグラウンドプロセスで、ローカルで実行され、ユーザーのマシン上に他のアプリケーションが呼び出し可能なポートを公開します。これにより、OpenAIやAnthropicモデル用に構築されたソフトウェアを、ローカルモデルにリダイレクトすることが可能になります。また、モデル間の切り替えを容易にするためにllama-swapも使用しています。

これは仮想通貨ウォレットにとって何を意味するのか？

ブテリン氏のAIセキュリティに関する懸念は、彼が考える暗号通貨ウォレット内でのAIの利用方法に直接的に結びついている。2026年3月に自身のFarcasterアカウントに投稿されたコメントの中で、彼はAIを活用した取引のための具体的な技術的ワークフローを概説した。

彼の主張は、AIが資金を管理すべきだというものではない。AIは行動を提案し、その提案の上に独立した検証と人間の確認が重ねられるべきだというものだ。高額取引の場合、彼は3段階のプロセスを説明した。まずAIが計画を提案し、次にローカルのライトクライアントがその計画の実行をオンチェーンでシミュレーションし、最後にユーザーが平易な言葉で書かれた説明とシミュレーション結果の両方を確認してから承認する、というものだ。

ローカルのライトクライアントは、ブロックチェーン全体をダウンロードすることなく、ブロックチェーンデータを検証します。これにAIレイヤーを組み合わせることで、ユーザーはサードパーティのインターフェースに頼ることなく、トランザクションがネットワークに送信される前に、そのトランザクションがどのような動作をするかを正確に確認できます。

DAppインターフェースの削除が重要な理由

ほとんどの仮想通貨ユーザーは、ブラウザベースのフロントエンドを介して分散型アプリケーションとやり取りします。これらのインターフェースは、これまで大きな攻撃対象となってきました。フロントエンドの乗っ取り、悪意のあるスクリプトの挿入、偽の承認プロンプトなどにより、近年、数億ドルもの損失が発生しています。

ブテリン氏は、AI搭載ウォレットならそうしたインターフェースを完全に排除できると主張した。ユーザーがやりたいことを平易な言葉で伝えれば、ウォレットが直接トランザクションを組み立ててシミュレーションするため、第三者のウェブサイトを介する必要がなくなるというのだ。 

「DAppのユーザーインターフェースを完全に排除することで、窃盗とプライバシー侵害の両方に対する多くの攻撃経路が解決される」と彼は書いている。

ブテリン氏は、リスクの低い取引においては、さらなる自動化の余地があると見ている。AIウォレットは、異常なアクティビティを検出するためにトランザクションパターンを監視したり、現在のネットワーク状況に基づいてガス料金を提案したり、効率的な経路でトークン交換をルーティングしたり、承認前に疑わしいコントラクトのやり取りを警告したりといった処理を適切に行うことができる。これらは、エラーが発生しても回復可能であり、自動化によって非技術系ユーザーの負担を軽減できるタスクである。

ブテリン氏によれば、大規模言語モデル（LLM）に巨額の資金を無制限に管理させるべきではない。LLMは決定論的な論理ではなく、統計的なパターンに基づいて応答を生成する。そのため、指示を誤って解釈したり、プロンプトインジェクション（巧妙に作成された入力によってモデルが意図しない動作をする手法）によって操作されたりする可能性がある。彼が提案するワークフローでは、各レイヤーに独立したチェック機能を追加することで、こうした障害を未然に防ぐことを目指している。

AIエージェント市場がこれらのリスクをより緊急なものにする理由

ブテリン氏が提起した懸念は仮説的なものではない。業界の推定では、AIエージェント市場は約 8億ドル規模の製品検査を 2025年には市場規模は縮小し、2030年までに48億ドルを超える成長が見込まれており、年間成長率は43%以上となる。人間の監視を減らして動作する自律型AIシステムを中心に構築されるソフトウェアが増えるにつれ、彼が指摘したセキュリティ上の脆弱性は、大規模化するにつれて無視できなくなるだろう。

結論

ブテリン氏の警告は、実証済みの研究によって裏付けられている。AIエージェントのセキュリティ脆弱性は既に実際の状況で実証されており、チャットボットから自律型エージェントへの移行は、これらのリスクの抑制をより困難にしている。 

彼が採用したローカル優先の設定や3段階のウォレットワークフローは、AIを否定するものではありません。データや資金の管理権を放棄することなくAIを活用しようとする試みです。AIエージェントの能力が向上するにつれ、実際に誰がその行動を制御するのかという問題は、無視できないものになってきています。

資料

1. ヴィタリック・ブテリンによる記事: 私の自己主権型／ローカル／プライベート／安全なLLMセットアップ、2026年4月

2. ファーキャスターについて語るヴィタリック・ブテリン: 3月5日投稿

3. BCCリサーチによるレポートAIエージェント市場は2030年まで年間43.3%の成長が見込まれる