あるセキュリティ研究者が、CoinbaseのAgentKitにプロンプトインジェクションの脆弱性を発見しました。この脆弱性により、攻撃者は人間の確認なしに不正なトークン転送を実行できる可能性があります。Base Sepoliaテストネットで検証されたこの欠陥は、ERC-20トークンの無限承認プロセスも露呈させ、エージェントの実行コンテキスト内のリモートサーバーへのアクセスも可能にします。中程度の深刻度と分類され、報奨金は2,000ドルですが、研究者はこの脆弱性の影響が過小評価されていると主張しています。 この脆弱性は2月にCoinbaseのバグバウンティプログラムに報告され、正式に検証されました。ウォレットの資金流出を超えて影響が及ぶ可能性があるため、影響を受けるインフラ全体のセキュリティに関する懸念が高まっていますが、リスクのある特定のシステムについては報告書に詳細が記載されていません。