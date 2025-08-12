Image: Mamun_Sheikh / Shutterstock.com

賢いけど弱いのか。

GoogleのAIアシスタント、Geminiにスケジュールをまとめてもらおうとしている、そこのあなた！ ちょっと待ってください。

毎年ラスベガスで開催されるサイバーセキュリティ会議「Black Hat USA」において、ある研究者グループが、「Googleカレンダーの招待機能といったシンプルなものに隠しコマンドを仕込み、それを使ってスマートデバイスを乗っ取る攻撃方法がある」と発表しました。

これは、最近増加の一途をたどる「プロンプト・インジェクション攻撃」の一例です。

「Invitation Is All You Need！（必要なのは招待状だけ）」と題された論文では、プロンプト・インジェクションを用いてGeminiを操作する方法が14種類も紹介されています。プロンプト・インジェクションとは、悪意のあるプロンプトを用いて、大規模言語モデルに有害な出力を生成させる攻撃の一種。

Wiredで報じられたとおり、最も衝撃的だったのは、インターネットに接続された家電製品やアクセサリーが乗っ取られた事例でしょう。ハッキング犯は照明を消したり、ボイラーを起動したり、とあらゆる操作を実行。つまり、所有者から家の制御権を完全に奪い取ったわけで、ともすれば大惨事になりかねない危険な状況でした。

ほかにも、GeminiでZoom通話を始めたり、メールの詳細を傍受したり、スマホのウェブブラウザからファイルをダウンロードさせたり、といった攻撃も。

その入り口はGoogleカレンダー

こうした攻撃の入り口は、そのほとんどが、Googleカレンダーへの招待、といったシンプルなものでした。しかし、その招待機能がプロンプト・インジェクションで汚染されており、攻撃が有効化されると、AIモデルは内蔵の安全プロトコルを回避する動作をしてしまうのです。

セキュリティ研究者がLLMの潜在的な脆弱性を示した例は、これらが初めてではありません。 Cursorなどのコード・アシスタントを乗っ取るためにプロンプト・インジェクションが利用された事案もあります。先月には、Amazonのコーディング・ツールがハッカーに侵入され、実行中のマシンからファイルを削除するよう指示されました。

今後もリスクは増大していきそう

また、AIモデルが隠れたコマンドと連携している可能性も明らかになりつつあります。最近の論文では、ほかのモデルのトレーニングに使用されたAIモデルが、データ内でフィルタリングされているにもかかわらず、癖や好みを伝えていることが明らかになりました。これは、マシン間で人の目に見えないメッセージがやり取りされている可能性を示しています。

大規模言語モデルは、今もその多くがブラックボックス状態です。しかし、もしあなたが悪意のある攻撃者であれば、内部で起こっていることを必ずしも理解する必要はありません。マシンを思い通りに動かすメッセージを送りこむ方法さえわかれば、それでいいのです。

Wiredによると、今回の攻撃については、研究者らがGoogleに脆弱性を報告し、対処済みだそうです。ただ、AIが多くのプラットフォームや人々の生活に統合されればされるほど、こうした脆弱性がもたらすリスクは増大するでしょう。

今、アプリやウェブサイトと対話し、複数のステップがあるタスクをこなすAIエージェントが続々と導入されています。これから、私たちの身の回りでいったいどんなことが起きるのか、大きな懸念をぬぐい切れません。