概要
Google ChromeとGemini統合に存在した脆弱性(CVE-2026-0628、CVSS 8.8)の詳細が公開された。悪意ある拡張機能がGeminiサイドパネルを乗っ取り、カメラ・マイク・ローカルファイルへの不正アクセスが可能だった。2026年1月にパッチ済み。
出典: The Hacker News — 2026-03-02
詳細
Palo Alto Networks Unit 42の研究者Gal Weizman氏が2025年11月23日に発見・報告した脆弱性。Googleは2026年1月にChrome 143.0.7499.192/.193で修正した。
攻撃の仕組み
- 攻撃者が悪意ある拡張機能を作成(基本的な権限のみ要求)
- ユーザーが拡張機能をインストール
- 拡張機能がGeminiサイドパネルに任意のJavaScriptを注入
- 高権限のGemini機能を悪用:
- カメラ・マイクへのアクセス
- 任意のWebサイトのスクリーンショット取得
- ローカルファイルシステムへのアクセス
なぜ危険か
通常、ブラウザ拡張機能がWebサイトに影響を与えるのは設計通りの動作。しかし、ブラウザに組み込まれたコンポーネント(Geminiパネル)に影響を与えるのは深刻なセキュリティリスク。AIエージェントがタスク実行のために必要とする高権限が、攻撃者に悪用される可能性がある。
ポイント
- CVSS 8.8の高深刻度脆弱性
- Chrome 143.0.7499.192以上で修正済み
- AIブラウザ統合が新たな攻撃ベクトルに
- 間接的プロンプトインジェクションとの複合リスク
個人開発者への示唆
AIエージェントをブラウザに統合する際は、権限の最小化を徹底すべきだ。特に、カメラ・マイク・ファイルアクセスなどの高権限APIを使用するエージェントは、厳格なサンドボックス化が必要。ユーザーとして拡張機能をインストールする際は、発行元の信頼性を確認し、定期的に権限を監査しよう。