AI機能がブラウザの基盤に深く統合されるにつれて、新たなセキュリティ脅威も登場しています。セキュリティ専門家は、グーグルChromeブラウザで深刻な脆弱性を発見しました。この脆弱性の番号はCVE-2026-0628です。この脆弱性により、悪意のある拡張機能が組み込まれたGemini Live AIパネルを乗っ取ることができ、通常禁止されているシステムレベルのアクセス権を得ることができます。

この脆弱性は、Palo Alto Networks傘下のUnit 42の研究者が発見しました。調査によると、悪意のあるプラグインはブラウザがサイドバーの要求を処理する方法を操作し、Chromeのセキュリティメカニズムを回避できます。Geminiパネルを成功裏に乗っ取ると、悪意のある拡張機能はAIアシスタントが持つ高度な特権を「引き継ぐ」ことができ、カメラやマイクの起動、ローカルの機密ファイルの読み取り、スクリーンショットの取得、さらには見せかけの合法的なダイアログボックスにフィッシングメールを挿入することも可能です。

「Geminiアプリケーションが正当な操作を実行しているため、このパネルを乗っ取ることで拡張機能が通常手に入れられないシステムリソースへのアクセス権を得ることができる」とセキュリティ研究者であるGal Weizmanは述べました。これは、AIをブラウザのコアに深く統合したことで、攻撃対象が広がるリスクを示しています。従来は制限されていたプラグインがAI機能の脆弱性に触れただけで、アクセス権を飛躍的に向上させることができるのです。

グーグルは1月初頭に安定版アップデートでこの脆弱性を修正しました。影響を受けたユーザーは、Chromeブラウザが143.0.7499.192以上になっていることを確認してください。

今回の出来事は、業界で「AIアシスタントの権限が大きすぎる」という懸念を引き起こしました。以前から、Gartnerという研究機関は、深いシステムとの接続を持つ「エージェント」ブラウザを使用することを避けるよう組織に勧めています。AI駆動の自動化による生産性の向上が、そのリスクと比較して価値があるかどうかについての疑問が残されています。

重要なポイント

  • 🛡️ 権限の向上リスク:悪意のある拡張機能がCVE-2026-0628の脆弱性を利用してGeminiパネルを乗っ取り、カメラやマイク、ローカルファイルの読み取りを不正に利用することができます。

  • 🛠️ パッチが公開されました:グーグルは143.0バージョンで緊急的にこの脆弱性を修正しました。ユーザーは早急に更新することで保護を受けることができます。

  • ⚠️ AI統合の懸念:AIアシスタントをシステムの基盤に深く埋め込むことは、ブラウザの脅威モデルを変えることになり、使い勝手とセキュリティのバランスをどう取るかが新たな課題となっています。