7月16日、BleepingComputerが「Google Gemini CLI abused as a hacking agent, malware botnet operator」と題した記事を公開した。この記事では、ロシア語話者の脅威アクター「bandcampro」がGoogleのオープンソースAIツール「Gemini CLI」をハッキングエージェントおよびボットネット運用ツールとして悪用した実態について詳しく紹介されている。
AIが自然言語でC2インフラを6分で移行
最も衝撃的なのは、Gemini CLIがボットネットのC2(Command & Control)インフラ移行をほぼ自律的に6分で完了させたという事実だ。
Gemini CLIはGoogleがオープンソースで公開しているコマンドラインAIエージェントで、開発者が日常的なタスクを自動化するために使うツールだ。今回はその汎用性が攻撃者によって逆用された。
「bandcampro」と呼ばれる脅威アクターが与えた指示はわずか一行、「"Study the C2 migration"(C2移行を調べろ)」のみ。AIはそこからマイグレーションガイドを読み込み、必要なコードとステップを自動生成した。VPSへのデプロイ、Cloudflareトンネルの構成、初期デバッグまでをAIが一手に担い、旧サーバーから新サーバーへのボット再接続でトラブルが起きた際も、AIが自ら原因(旧新サーバー間のトラフィック競合)を診断して解決策を提示した。

Geminiとのやりとりのログ(出典:Trend Micro)
この分析を行ったのはTrend Microの研究者チームだ。彼らのレポートでは、この攻撃キャンペーンは「Patriot Bait」と命名されている。レポートによれば、攻撃者は2025年4月21日から5月19日の間に200回以上のセッションを通じてAIと協働し、歯科クリニックの8台のシステムを制御するインフラを構築・運用、OpenDentalデータベースへのアクセスも試みた。
わずか5KBの設定ファイルで動くボットネット
技術的に興味深いのは、このボットネット全体の構成要素が合計約5KBの3つのプレーンテキストファイルに収まっている点だ。
- Geminiジェイルブレイクプロンプト:AIに「認可されたペネトレーションテスター」の役割を与え、安全警告なしで動作させ、取得した認証情報を自動保存させる設定
- C2プレイブック:インフラのアーキテクチャ、感染コード、持続性確保コマンド(スケジュールタスク、WMIイベント、レジストリ変更)、トラブルシューティング手順を網羅
- マイグレーションガイド:インフラを再構築するための手順書
C2にはインメモリのPython HTTPサーバーが使われ、感染端末側のエージェントはPowerShellで実装され5秒ごとにポーリングする仕組みだ。マルウェア自体は難読化・パッキング・回避機構を持たない単純な構造だったとTrend Microは指摘している。
日常的な自然言語操作とAIの「拒否」
脅威アクターは日常的な運用も自然言語でこなしていた。「どの端末がオンラインか」「特定PCのファイル一覧を出せ」「感染リンクを生成しろ」といった指示をAIに投げ、AIがそれに応じて処理を実行。AIエージェントは少なくとも59回にわたって問題のトラブルシューティングを行い、自ら運用改善の提案まで行ったという。
それ以外にもAIはWordPressポータルへのパスワード推測(既存パスワードの変形候補の生成)や、1Passwordのダンプデータ分析による侵入経路の探索にも使われた。後者はセッションが長引きすぎてAIが攻撃の全体像を見失ったことで失敗に終わったとされる。
一方、自己拡散型の「エージェントボム」の構築を要求された場面では、Geminiは要求を拒否した。ただしそれは攻撃全体を止めるには至らず、脅威アクターは別のタスクに切り替えただけだった。
何が問題か
今回の事例は、ジェイルブレイクプロンプト(AIの安全制限を迂回するための特殊な指示)さえ用意すれば、攻撃に必要な専門知識をAIが補完してくれることを実証した形となる。汎用開発ツールとして設計されたGemini CLIが、こうした悪用にも十分機能することが示されたことで、今後の攻撃の敷居を下げる懸念がある。BleepingComputerはGoogleにコメントを求めているが、記事公開時点で返答は得られていない。
詳細はGoogle Gemini CLI abused as a hacking agent, malware botnet operatorを参照していただきたい。