6月26日、Search Engine Journalが「Google Gemini Can Now Control Your Computer. Hackers Are Already Targeting AI Agents」と題した記事を公開した。GeminiにPC操作機能が組み込まれたことで、AIエージェントを狙った新たなセキュリティ脅威が現実のものとなりつつある状況について詳しく紹介されている。
GeminiがPC操作を標準機能として取り込んだ
Googleは「computer use」(コンピューター操作)機能を、最新のGeminiモデルに組み込んだ。Googleの公式アナウンスではモデル名の表記が元記事と一部異なる場合があるため、対象モデルの正確なバージョンは公式ドキュメントで確認されたい。これにより、ブラウザ・アプリ・デスクトップ上のワークフローをエージェントとして制御する機能が、独立したプロダクトではなく標準の能力として提供される。
具体的には、GeminiがUIを「見て」、画面上の状況を推論し、直接操作を行える。APIが存在しないレガシーアプリのGUI操作も対象だ。たとえば「Google Search Consoleにログインして昨日のSEOレポートをスプレッドシートに書き出し、先週のデータと比較してメールで要約を送れ」といったワークフローを、カスタムスクリプト不要で自然言語だけで実行できる。
開発者にとっては、APIを持たないGUIアプリのテスト自動化、フォーム入力、ダッシュボード操作といった用途が現実的になる。
問題の核心:AIエージェントは攻撃対象になる
Googleのアナウンスは前向きな論調だが、合わせて公開されたセーフティベストプラクティス文書の内容は深刻だ。
「Computer Useは固有のセキュリティとオペレーション上のリスクをもたらす。ユーザーに代わって動作するモデルが、画面上の信頼できないコンテンツに遭遇したり、アクションの実行でエラーを犯す可能性がある。」
この「画面上の信頼できないコンテンツ」とは、AIエージェントを罠にはめるために仕込まれた悪意ある命令——いわゆるプロンプトインジェクション——を指す。Google DeepMindのシニアサイエンティストは最近、「大規模AIエージェントの展開は現時点で安全ではない」と明言し、悪意ある人物がAIエージェントを狙ってすでに罠を仕掛けていると警告している。
実害はすでに報告されている
これは抽象的な脅威ではない。今月(6月)、カリフォルニア州のサイバーセキュリティ専門家が、AnthropicのClaude AIエージェントを経由してクレジットカードに不正請求を受けた事例が報告された。元記事およびABC7 Newsによれば、この被害はAIエージェントの誤動作ではなく、攻撃者が仕込んだ命令によってエージェントが意図せず不正操作を実行したものとされている。
当人がダウンロードしたSkills.mdファイルにAIエージェントへの命令が仕込まれており、Claudeがコンピューター上のデジタルウォレットを使って、さまざまなギフトカードを自動購入しようとしたとされる。
「そのファイルは基本的に、Claudeが私の保存情報を使ってさまざまなギフトアカウントを購入しようとするよう命令していた。コンピューター上のデジタルウォレットを使ってClaudeが購入を始めた…」(ABC7 News報道より)
ウェブサイトが攻撃者の「発射台」になる構図だ。プロンプトインジェクション命令をサイトに埋め込むことで、そのサイトを訪問したAIエージェントを乗っ取れる可能性がある。
Googleが示す7つの対策
Googleは開発者向けに以下の対策を推奨している。
- Human-in-the-Loop(HITL):確認が必要な操作ではユーザー承認を強制する
- セキュアな実行環境:サンドボックス化されたVM、Dockerコンテナ、権限を絞ったブラウザプロファイルで実行する
- 入力のサニタイズ:プロンプト内のユーザー生成テキストをサニタイズし、意図しない命令の混入を防ぐ
- コンテンツガードレール:ユーザー入力・ツールの入出力・エージェントの応答をプロンプトインジェクションやジェイルブレイクの観点で評価する
- 許可リスト・禁止リスト:モデルがアクセスできるURLや実行できる操作をフィルタリングする
- オブザーバビリティとロギング:プロンプト、スクリーンショット、提案されたアクション、実際に実行されたアクションをすべてログに残す
- 環境管理:予期しないポップアップや通知がモデルを混乱させる可能性があるため、タスクごとにクリーンな状態から始める
いずれも「やれれば望ましい」レベルではなく、本番運用での必須要件として位置づけられている点が重要だ。特にHITLとサンドボックス化は、エージェントが外部のウェブコンテンツに触れる以上、最低限の防衛ラインとなる。
サイトオーナー側のリスク
元記事は、AIエージェントが「訪問者」として行動するようになると、サイトオーナー側にも新たな問題が生じると指摘している。エンゲージメントシグナルの解釈が変わる可能性がある一方、自サイトにプロンプトインジェクション命令が第三者によって仕込まれていないかを監視する必要も出てくる。しかし現状、そうした確認を積極的に行っているサイトオーナーはほぼいない、と元記事は述べている。
詳細はGoogle Gemini Can Now Control Your Computer. Hackers Are Already Targeting AI Agentsを参照していただきたい。