GrokがモールスでのPrompt Injectionに騙され約3000万円相当の暗号資産を送金

攻撃の手口

ユーザーがX上にモールス符号でエンコードされたメッセージを投稿し、Grokに翻訳させた。翻訳結果は攻撃者のウォレットアドレスへ30億DRBトークンを送金するよう命じる内容だった。GrokはこれをBankrbot（Grokに接続された自動取引ボット）に直接渡し、Bankrbotは有効なコマンドとして即座にBaseブロックチェーン上で実行した。

なぜ成功したか

これは典型的な間接プロンプトインジェクション攻撃だ。LLMエージェントが信頼できない外部入力（X上の公開投稿）を処理する際に、翻訳すべきコンテンツと実行すべき命令を区別できなかった。モールス符号によるエンコードがキーワードベースのコンテンツフィルターを回避したとみられる。

取引の詳細

Baseブロックチェーン上で30億DRBトークンの全額が攻撃者のウォレットに転送された。取引当時の価値は約20万ドル（約3,000万円）に相当する。

セキュリティへの示唆

AIエージェントが実行権限を持つ金融システムに接続される場合、信頼できない入力チャネルはすべて攻撃ベクターになりうる。翻訳タスクとコマンド実行の厳格な分離、高額取引の多段階承認、公開SNS投稿を実行可能なコマンドとして扱わない設計が対策として挙げられる。