2026 年 4 月 20 日 | 9527TEAM一、事件----4 月 7 日、オープンソースのAI監査ツールがGitHubにレポートを公開した。このレポートは、Kelp DAOのLayerZeroクロスチェーンブリッジの1-of-1検証ノード設定の脆弱性を正確に特定した。レポートのスター数は47。4 月 19 日、Kelp DAOがハッカーに攻撃された。損失は2億9200万ドル。これは技術的な失敗ではない。人間性の失敗だ。* * *二、12日間に何が起こったか-------------4 月 7 日、警告レポートが出された。GitHub上で、47人がスターを付けた。おそらく研究者やDeFiプレイヤー、そしてKelpのコントラクトを追っている開発者も含まれる。そして、その後は?その後は何も起こらなかった。レポートはKelpチームに重視されず、緊急対応の流れも起動されず、安全メールリストで広く伝播もされず、メディアの報道にも入らなかった。4 月 19 日、ハッカーは全く同じ手法で2億9200万ドルを奪い去った。12日間。多くのことができたはずだ。Telegramのグループを立ち上げることも、安全監査を完了させることも、プロトコルを一時停止させることも。しかし、何も起こらなかった。* * *三、なぜ誰も聞かなかったのか---------これは2億9200万ドル以上に答えにくい問題だ。一つの可能性は、レポートを見た人々に十分な権限や影響力がなく、Kelpチームに行動を促せなかったことだ。オープンソースの世界ではよくあることだ——脆弱性を見つけて通知しても、相手には義務も責任もない。二つ目の可能性は、見たけれどもその脆弱性の深刻さを理解していなかったことだ。LayerZeroの1-of-1検証ノード設定の問題は、非専門家から見れば単なる「設定の提案」に過ぎず、「すぐにすべてのクロスチェーン操作を停止すべき」緊急警報ではないと考えられたのかもしれない。三つ目の、最も背筋が寒くなる可能性は、見たけれども推進力を持ちながらも黙っていた人がいることだ。どのケースでも結論は一つだ:**我々にはツールもデータも警告もあるが、それでも2億9200万ドルは失われた**。* * *四、これは孤立した例ではない-------同じ日に、VercelのCEO Guillermo Rauchがツイートした。Vercelの社員がAIプラットフォームから漏れたクッキーに侵入され、Vercel内部の権限を獲得した。ハッカー組織は高度に専門化されている。「私はこの攻撃はAIによって大きく加速されたと強く疑っている。」これはAIのセキュリティ事件ではない。従来のクッキー侵入の一例だ。しかし、AIは侵入をより速く、安く、追跡を難しくしている。BoxのCEO Aaron Levieの見解も、より直接的な答えかもしれない。「AIを使うエンジニアは、使わないエンジニアよりも遥かに生産性が高い。」攻撃者がAIを使って加速させ、防御側が人力で警告に対応している間に——この戦いは最初から対等ではない。* * *五、警告システムが機能しなくなったとき---------我々は警告爆発の時代に生きている。GitHubには無数のセキュリティ研究がある。Twitterには無数の情報分析者がいる。ブロックチェーンには無数の監視ツールがある。毎日、脆弱性が事前に発見され、公表され、広く議論されている。しかし、警告の数と実際に対応された警告の数の間には巨大なギャップがある。このギャップは技術的な問題ではない。インセンティブの問題だ。セキュリティ研究者が脆弱性を発見→プロジェクトに報告→プロジェクトが応答しない→研究者が公開→プロジェクトがやっと応答するが手遅れ。これがWeb3のセキュリティの定番シナリオだ。毎年繰り返されている。Kelpはただの最新の例だ。* * *六、OpenAIの最高科学者が言った一言--------------------同じ日に、MAD PodcastはOpenAIの最高科学者のインタビューを放送した。彼は何度も考えさせられる言葉を語った。「非常に多くの知的作業が自動化される。これにより、巨大なガバナンスの問題が生じる:少数の人がコントロールするAI組織は、もはや『会社』と呼べるのか?」彼はAI企業について語ったが、この言葉はDeFiにも同じように当てはまる。少数の人が管理するプロトコル、少数の人が無視するセキュリティ警告、12日で消える2億9200万ドル——これは分散型金融ではない。単に中央集権リスクを匿名ハッカーに押し付けているだけだ。* * *七、私たちが学んだこと---------第一、ツールだけでは不十分だ。GitHubの47スターの警告ツールと、実効的な警告システムの間には天と地ほどの差がある。第二、インセンティブの仕組みが重要だ。セキュリティ研究者が脆弱性を公開しても報酬がなければ、プロジェクトが警告を無視しても罰則がなければ、警告はずっと存在し続け、放置される。第三、AIは攻防の天秤を変えている。攻撃者はAIを使って加速させ、防御者は人力だけに頼ることができない。Kelpの2億9200万ドルも、AI駆動の攻撃時代の始まりに過ぎないかもしれない。今は2026年4月20日だ。次の2億9200万ドルは、もしかするとGitHubのどこかに静かに横たわり、スター第48号を待っているのかもしれない。* * *_情報源:PANews · Vercel CEO Guillermo Rauchのツイート · Box CEO Aaron Levieのツイート · MAD Podcast Ep84 · OpenAI最高科学者のインタビュー_
2億9200万ドルがGitHubスター47のツールによって12日間警告された
2026 年 4 月 20 日 | 9527TEAM
一、事件
4 月 7 日、オープンソースのAI監査ツールがGitHubにレポートを公開した。
このレポートは、Kelp DAOのLayerZeroクロスチェーンブリッジの1-of-1検証ノード設定の脆弱性を正確に特定した。レポートのスター数は47。
4 月 19 日、Kelp DAOがハッカーに攻撃された。損失は2億9200万ドル。
これは技術的な失敗ではない。人間性の失敗だ。
二、12日間に何が起こったか
4 月 7 日、警告レポートが出された。
GitHub上で、47人がスターを付けた。おそらく研究者やDeFiプレイヤー、そしてKelpのコントラクトを追っている開発者も含まれる。
そして、その後は?
その後は何も起こらなかった。
レポートはKelpチームに重視されず、緊急対応の流れも起動されず、安全メールリストで広く伝播もされず、メディアの報道にも入らなかった。
4 月 19 日、ハッカーは全く同じ手法で2億9200万ドルを奪い去った。
12日間。多くのことができたはずだ。
Telegramのグループを立ち上げることも、安全監査を完了させることも、プロトコルを一時停止させることも。
しかし、何も起こらなかった。
三、なぜ誰も聞かなかったのか
これは2億9200万ドル以上に答えにくい問題だ。
一つの可能性は、レポートを見た人々に十分な権限や影響力がなく、Kelpチームに行動を促せなかったことだ。オープンソースの世界ではよくあることだ——脆弱性を見つけて通知しても、相手には義務も責任もない。
二つ目の可能性は、見たけれどもその脆弱性の深刻さを理解していなかったことだ。LayerZeroの1-of-1検証ノード設定の問題は、非専門家から見れば単なる「設定の提案」に過ぎず、「すぐにすべてのクロスチェーン操作を停止すべき」緊急警報ではないと考えられたのかもしれない。
三つ目の、最も背筋が寒くなる可能性は、見たけれども推進力を持ちながらも黙っていた人がいることだ。
どのケースでも結論は一つだ:我々にはツールもデータも警告もあるが、それでも2億9200万ドルは失われた。
四、これは孤立した例ではない
同じ日に、VercelのCEO Guillermo Rauchがツイートした。
Vercelの社員がAIプラットフォームから漏れたクッキーに侵入され、Vercel内部の権限を獲得した。ハッカー組織は高度に専門化されている。「私はこの攻撃はAIによって大きく加速されたと強く疑っている。」
これはAIのセキュリティ事件ではない。従来のクッキー侵入の一例だ。しかし、AIは侵入をより速く、安く、追跡を難しくしている。
BoxのCEO Aaron Levieの見解も、より直接的な答えかもしれない。
「AIを使うエンジニアは、使わないエンジニアよりも遥かに生産性が高い。」
攻撃者がAIを使って加速させ、防御側が人力で警告に対応している間に——この戦いは最初から対等ではない。
五、警告システムが機能しなくなったとき
我々は警告爆発の時代に生きている。
GitHubには無数のセキュリティ研究がある。Twitterには無数の情報分析者がいる。ブロックチェーンには無数の監視ツールがある。毎日、脆弱性が事前に発見され、公表され、広く議論されている。
しかし、警告の数と実際に対応された警告の数の間には巨大なギャップがある。
このギャップは技術的な問題ではない。インセンティブの問題だ。
セキュリティ研究者が脆弱性を発見→プロジェクトに報告→プロジェクトが応答しない→研究者が公開→プロジェクトがやっと応答するが手遅れ。
これがWeb3のセキュリティの定番シナリオだ。毎年繰り返されている。
Kelpはただの最新の例だ。
六、OpenAIの最高科学者が言った一言
同じ日に、MAD PodcastはOpenAIの最高科学者のインタビューを放送した。
彼は何度も考えさせられる言葉を語った。
「非常に多くの知的作業が自動化される。これにより、巨大なガバナンスの問題が生じる:少数の人がコントロールするAI組織は、もはや『会社』と呼べるのか?」
彼はAI企業について語ったが、この言葉はDeFiにも同じように当てはまる。
少数の人が管理するプロトコル、少数の人が無視するセキュリティ警告、12日で消える2億9200万ドル——これは分散型金融ではない。単に中央集権リスクを匿名ハッカーに押し付けているだけだ。
七、私たちが学んだこと
第一、ツールだけでは不十分だ。GitHubの47スターの警告ツールと、実効的な警告システムの間には天と地ほどの差がある。
第二、インセンティブの仕組みが重要だ。セキュリティ研究者が脆弱性を公開しても報酬がなければ、プロジェクトが警告を無視しても罰則がなければ、警告はずっと存在し続け、放置される。
第三、AIは攻防の天秤を変えている。攻撃者はAIを使って加速させ、防御者は人力だけに頼ることができない。Kelpの2億9200万ドルも、AI駆動の攻撃時代の始まりに過ぎないかもしれない。
今は2026年4月20日だ。
次の2億9200万ドルは、もしかするとGitHubのどこかに静かに横たわり、スター第48号を待っているのかもしれない。
情報源:PANews · Vercel CEO Guillermo Rauchのツイート · Box CEO Aaron Levieのツイート · MAD Podcast Ep84 · OpenAI最高科学者のインタビュー