Umělá inteligence se v kryptoměnovém sektoru rychle posouvá od experimentů k praktickému nasazení. AI agenti dnes pomáhají s obchodováním, správou peněženek i interakcí s decentralizovanými službami, zároveň ale otevírají nový prostor pro zneužití. Nová akademická práce proto upozorňuje, že bezpečnost těchto nástrojů nelze stavět jen na kvalitě modelu, ale je nutné ji řešit na úrovni celého systému.
Bezpečnost AI agentů není jen problém modelu
Podle aktualizované studie zveřejněné 20. května týmy z Google, Gray Swan AI, EmbraceTheRed a několika univerzit je nutné nahlížet na bezpečnost AI agentů jako na klasický problém počítačové bezpečnosti. Autoři tvrdí, že samotné posilování odolnosti modelu vůči chybám a manipulaci nestačí. Pokud má agent přístup k citlivým datům, peněžence nebo finančním operacím, musí být chráněn celý ekosystém, ve kterém funguje. Jinými slovy, AI agent nemá být vnímán jako plně důvěryhodná součást infrastruktury, ale jako komponenta, kterou je třeba omezovat a kontrolovat.
Výzkumníci zdůrazňují, že oblast kyberbezpečnosti se s mocnými a motivovanými útočníky potýká desítky let. Právě proto doporučují převzít osvědčené principy z tradiční systémové bezpečnosti a aplikovat je i na AI agenty. Zásadní myšlenkou studie je, že agent má být považován za nedůvěryhodný systém, nikoli za autonomní autoritu, které lze bez omezení svěřit klíčové úkony. Takový přístup má podle autorů výrazně snížit pravděpodobnost selhání i úspěšných útoků.
Tři klíčové mechanismy mohou zastavit velkou část útoků
Autoři studie uvádějí, že po analýze různých scénářů napadení identifikovali tři základní mechanismy, které by mohly eliminovat značnou část známých útoků. Prvním z nich je striktní oddělení instrukcí od nedůvěryhodných dat. To je důležité zejména kvůli tomu, aby útočník nemohl do běžných vstupních dat skrytě vložit škodlivé pokyny a přimět agenta k nežádoucí akci.
Druhým principem je udělování pouze minimálních oprávnění nutných k provedení konkrétního úkolu. Pokud agent potřebuje pouze číst zůstatek nebo připravit návrh transakce, neměl by zároveň získat plný přístup k převodům prostředků či změnám nastavení peněženky. Omezení pravomocí patří mezi nejúčinnější bezpečnostní pravidla i v tradičním IT a podle výzkumníků by mělo být standardem i u AI nástrojů v kryptu.
Třetím mechanismem je kontrola toku citlivých informací na úrovni širšího systému, nikoli samotného agenta. To znamená, že systém má přesně určovat, kam mohou být důležitá data odeslána a kam nikoli. Díky tomu je možné zabránit situaci, kdy je agent zmanipulován k odeslání citlivých údajů na nebezpečné nebo podvržené adresy. Podle autorů právě kombinace těchto tří opatření může zastavit velkou část reálně očekávaných útoků.
Krypto sektor nasazuje AI stále agresivněji
Zájem o AI agenty v kryptoměnovém odvětví v posledních měsících rychle roste. Tyto systémy se využívají při tvorbě Web3 aplikací, automatizaci interakcí se smart kontrakty, spouštění tokenových projektů nebo při obchodování. Některé firmy už testují modely, které mají samostatně komunikovat se službami a protokoly bez přímého zásahu uživatele.
Optimistické výhledy sdílejí i někteří představitelé odvětví. Generální ředitel společnosti Circle Jeremy Allaire už v lednu odhadl, že během pěti let by mohly jménem uživatelů fungovat miliardy AI agentů. Pokud by se takový scénář naplnil, bezpečnostní architektura těchto systémů by se stala jedním z nejdůležitějších témat celého digitálního finančního prostoru. Čím více pravomocí totiž agenti získají, tím větší motivaci budou mít útočníci hledat cesty k jejich zneužití.
Praktické riziko ukázal incident kolem asistenta Bankr
Na teoretická varování navazuje i nedávný incident z praxe. AI poháněný krypto obchodní asistent Bankr 20. května oznámil, že deaktivoval transakce poté, co odhalil útočníka, který získal přístup nejméně ke 14 peněženkám. Bezpečnostní experti následně spekulovali, že bot mohl být kompromitován nebo zneužit hackerem.
Případ ukazuje, že riziko nespočívá pouze v tom, zda model správně chápe zadání. Problém může vzniknout i v okolní infrastruktuře, v nastavení oprávnění, ve způsobu ověřování akcí nebo v tom, jak systém zpracovává externí vstupy. Právě proto výzkumníci odmítají redukovat bezpečnost AI agentů na pouhé vylepšování modelu. Bez komplexního návrhu celého prostředí zůstává i velmi schopný agent zranitelný.
Přístup k peněžence přidává novou vrstvu důvěry
Aaron Ratcliff ze společnosti Merkle Science už dříve upozornil, že z bezpečnostního hlediska znamená přístup AI agenta ke kryptopeněžence zásadní změnu. Kryptoměny jsou postaveny na principu trustless infrastruktury, tedy prostředí, kde uživatel nemusí důvěřovat prostředníkovi. Jakmile však do tohoto procesu vstoupí AI agent s možností vykonávat akce nad peněženkou, vzniká nová vrstva důvěry, kterou je nutné pečlivě řídit.
Ratcliff zároveň připustil, že takové řešení může být bezpečné, pokud je systém navržen správně. Očekával by však důkaz, že AI umí rozpoznat front-running, nastavit limity skluzu, odhalit podvodné tokeny a v reálném čase auditovat smart kontrakty dříve, než provede obchod. Vedle toho by měla fungovat izolace promptů, ochrana proti prompt injection a blokace útoků typu man in the middle. Bez těchto vrstev obrany je autonomní obchodování přes AI podle expertů předčasné.
Role strážce mezi modelem a peněženkou
Další pohled přidal Sean Ren, spoluzakladatel blockchainové platformy Sahara AI, který označil správně nastavené model context protokoly za zlatý standard bezpečnosti. Podle něj mohou fungovat jako prostředník mezi AI modelem a uživatelskou peněženkou. Smyslem takového řešení je zajistit, aby agent neměl volnou ruku, ale mohl provádět jen předem schválené a přesně definované akce.
V praxi to znamená například možnost zkontrolovat zůstatek nebo připravit platbu, kterou uživatel následně potvrdí. Naopak by neměl mít možnost svévolně přesouvat prostředky nebo měnit klíčová nastavení účtu. Takový model výrazně snižuje dopad případného selhání nebo manipulace, protože agent zůstává pod procesní kontrolou a nemůže překročit jasně stanovené mantinely. I při těchto opatřeních ale Ren zdůrazňuje, že uživatelé by měli sledovat každou akci, kterou AI agent provádí.
Budoucnost AI v kryptu bude stát na systémové bezpečnosti
Debata o AI agentech v kryptu se tak postupně přesouvá od otázky, co všechno dokážou, k otázce, jak bezpečně je lze nasadit. Rostoucí schopnosti modelů sice otevírají cestu k automatizaci, rychlejšímu obchodování i pohodlnější správě digitálních aktiv, současně ale násobí význam správně nastavených bezpečnostních pravidel. Pokud mají AI agenti v příštích letech skutečně spravovat prostředky milionů uživatelů, nebude stačit spoléhat na to, že model jedná rozumně.
Nová studie proto přináší důležité a střízlivé poselství. AI agenti by neměli být považováni za důvěryhodné operátory, ale za potenciálně rizikové komponenty, které musejí fungovat v pečlivě omezeném a kontrolovaném prostředí. Právě přístup postavený na minimálních oprávněních, oddělení instrukcí od dat a kontrole toku citlivých informací může rozhodnout o tom, zda se AI v kryptoměnách stane bezpečným pomocníkem, nebo novým cílem pro útočníky.
