ChromeのAI Geminiの隙間は、ハッカーがカメラを覗き見してデータを盗むのに使用できます

ジャカルタ - サイバーセキュリティ研究者は、GoogleのAIアシスタント機能であるGoogle Geminiに関連するGoogle Chromeブラウザの深刻な脆弱性を発見しました。このセキュリティホールにより、悪意のある拡張機能がユーザーをスパイし、デバイスから機密データを盗むことができます。

この脆弱性は、Palo Alto Networks Unit 42のセキュリティ研究チームによって発見され、セキュリティコードCVE-2026-0628で記録されました。研究者は、この問題は、ブラウザ内のGeminiパネルで使用されるWebViewコンポーネントのセキュリティポリシーの実装の弱さから来ると述べています。

特定の状況では、攻撃者はこのギャップを利用して、一見無害に見えるブラウザ拡張機能を配布できます。ユーザーがそれをインストールすると、拡張機能はブラウザページにスクリプトや悪意のあるコードを注入し、ジェミニの動作を操作できます。

この手法により、ハッカーは通常、通常のブラウザ拡張機能ではアクセスできないシステムリソースにアクセスできる可能性があります。

攻撃が成功した場合、ハッカーはユーザーの同意なしにさまざまなアクションを実行するためのジェミニ機能を乗っ取ることができます。最悪の場合、ハッカーはデバイスのカメラやマイクにアクセスし、スクリーンショットを撮ったり、ローカルファイルを読み込んだり、フィッシング攻撃を実行したりできます。

Geminiは、ユーザーに代わってさまざまなタスクを実行できるAIアシスタントとして設計されており、これらの機能を操作することで、ブラウザ内の攻撃範囲を大幅に拡大できます。

Googleテクノロジー会社は、WindowsとmacOSオペレーティングシステム用のChromeバージョン143.0.7499.192と143.0.7499.193のセキュリティアップデートと、Linux用の同様のパッチをリリースして、この発見に対応しました。

Googleは、この脆弱性の潜在的な悪用を回避するために、Chromeユーザー全員にブラウザをすぐに更新するよう促しています。多くの場合、更新プログラムはブラウザによって自動的にダウンロードおよびインストールされますが、ユーザーはChromeの設定メニューから手動で更新を確認することをお勧めします。

このケースは、AIを日常のソフトウェアに統合することで、イノベーションに新たな機会を提供し、サイバーセキュリティの世界に新たな攻撃面を創出するということを思い出させます。

現代のデジタルエコシステムでは、AIはもはや情報検索ツールではなく、ユーザーに代わって行動できる「エージェント」となっています。エージェントがハッキングされると、その影響は通常のソフトウェアバグよりもはるかに広範囲になる可能性があります。まるで、システム内の多くのドアを一度に開くためのマスターキーを突然手に入れたかのように。