LLM 交易エージェントセキュリティ

自主取引エージェントは、通常の LLM アプリケーションよりも厳しい脅威モデルに直面しています。単一のプロンプト注入またはツールパスの誤りが、資産の直接的な損失につながる可能性があります。

ユースケース

• トランザクションに署名して送信できる AI エージェントの構築
• 取引ボットまたはオンチェーン実行アシスタントの監査
• エージェント向けのウォレットキー管理スキームの設計
• LLM に注文発行、トークン交換、または資金操作権限の付与

仕組み

多層防御体系を構築してください。単一のチェックでは十分ではありません。プロンプト衛生、支出ポリシー、シミュレーション実行、実行制限、ウォレット隔離を独立した制御手段として扱う必要があります。

例

プロンプト注入を金融攻撃として扱う

import re

INJECTION_PATTERNS = [
    r'ignore (previous|all) instructions',
    r'new (task|directive|instruction)',
    r'system prompt',
    r'send .{0,50} to 0x[0-9a-fA-F]{40}',
    r'transfer .{0,50} to',
    r'approve .{0,50} for',
]

def sanitize_onchain_data(text: str) -> str:
    for pattern in INJECTION_PATTERNS:
        if re.search(pattern, text, re.IGNORECASE):
            raise ValueError(f"Potential prompt injection: {text[:100]}")
    return text

トークン名、トレーディングペアラベル、ネットワークフック、またはソーシャルメディアフィードを、実行権限を持つプロンプトに盲目的に注入しないでください。

ハードキャップ支出制限

from decimal import Decimal

MAX_SINGLE_TX_USD = Decimal("500")
MAX_DAILY_SPEND_USD = Decimal("2000")

class SpendLimitError(Exception):
    pass

class SpendLimitGuard:
    def check_and_record(self, usd_amount: Decimal) -> None:
        if usd_amount > MAX_SINGLE_TX_USD:
            raise SpendLimitError(f"Single tx ${usd_amount} exceeds max ${MAX_SINGLE_TX_USD}")

        daily = self._get_24h_spend()
        if daily + usd_amount > MAX_DAILY_SPEND_USD:
            raise SpendLimitError(f"Daily limit: ${daily} + ${usd_amount} > ${MAX_DAILY_SPEND_USD}")

        self._record_spend(usd_amount)

送信前シミュレーション実行

class SlippageError(Exception):
    pass

async def safe_execute(self, tx: dict, expected_min_out: int | None = None) -> str:
    sim_result = await self.w3.eth.call(tx)

    if expected_min_out is None:
        raise ValueError("min_amount_out is required before send")

    actual_out = decode_uint256(sim_result)
    if actual_out < expected_min_out:
        raise SlippageError(f"Simulation: {actual_out} < {expected_min_out}")

    signed = self.account.sign_transaction(tx)
    return await self.w3.eth.send_raw_transaction(signed.raw_transaction)

サーキットブレーカー機構

class TradingCircuitBreaker:
    MAX_CONSECUTIVE_LOSSES = 3
    MAX_HOURLY_LOSS_PCT = 0.05

    def check(self, portfolio_value: float) -> None:
        if self.consecutive_losses >= self.MAX_CONSECUTIVE_LOSSES:
            self.halt("Too many consecutive losses")

        if self.hour_start_value <= 0:
            self.halt("Invalid hour_start_value")
            return

        hourly_pnl = (portfolio_value - self.hour_start_value) / self.hour_start_value
        if hourly_pnl < -self.MAX_HOURLY_LOSS_PCT:
            self.halt(f"Hourly PnL {hourly_pnl:.1%} below threshold")

ウォレット隔離

import os
from eth_account import Account

private_key = os.environ.get("TRADING_WALLET_PRIVATE_KEY")
if not private_key:
    raise EnvironmentError("TRADING_WALLET_PRIVATE_KEY not set")

account = Account.from_key(private_key)

セッションに必要な資金のみを含む専用ホットウォレットを使用してください。エージェントをメイン資金ウォレットに向けないでください。

MEV とデッドライン保護

import time

PRIVATE_RPC = "https://rpc.flashbots.net"
MAX_SLIPPAGE_BPS = {"stable": 10, "volatile": 50}
deadline = int(time.time()) + 60

デプロイ前チェックリスト

• LLM コンテキストに入る前に外部データが無害化されている
• 支出制限がモデル出力と独立して強制されている
• トランザクションが送信前にシミュレートされている
• min_amount_out が必須要件である
• ドローダウンまたは無効な状態でサーキットブレーカーがトリガーされる
• キーが環境変数またはキー管理システムから取得され、コードまたはログに記録されていない
• 適切な場合にプライベートメモプールまたは保護されたルーティングが使用されている
• スリッページとデッドラインがポリシーに従って設定されている
• すべてのエージェント決定が監査ログに記録され、送信されたトランザクションのみに限定されていない