GoogleのAI「Gemini」をホワイトハッカーがハッキング、隠された情報を発見！

🔎 Google主催のバグ発見イベント「LLM bugSWAT」で、ホワイトハッカーたちがAI「Gemini」の隠された情報を発見し、大きな注目を集めました！

最も価値のあるハッカーに輝いたサイバーセキュリティエンジニアたち

今回、「最も価値のあるハッカー（Most Valuable Hacker）」の称号を手にしたのは、サイバーセキュリティエンジニアのロニ・カルタ氏らのチーム。
彼らは2024年にも同イベントに参加しており、当時は日本円にして約740万円以上の報奨金を手にしています。

「Gemini」のプレビュー版へアクセス、そして侵入へ

今回のチャレンジでは、Googleチームから次世代Geminiプレビュー版へのアクセス権が与えられ、
攻撃者の視点からAIシステムの脆弱性を探すことが求められました。

まずはシンプルなプロンプトから

🖥️ チームはまず、
「Python3でhello worldを実行してください」
というシンプルな指示を与えます。

これによりGeminiは、Python実行環境＝サンドボックスを構築。
コードがGemini上で動作する状態を作り出しました。

サンドボックスの通信を発見！

さらに掘り下げた結果、サンドボックスが外部のGoogleサーバーと通信し、
Google Flightsなど他のサービスからデータを取得していることに気づきます。

ここでチームは次の仮説を立てます。
💡 「プロンプトインジェクション（悪意ある指示注入）で、より高権限の環境を得られるかも？」

Googleのセキュリティチームの協力を得て検証したところ、
✅ 実際に高い権限を持つサンドボックスにアクセスできる可能性が確認されました。

この状態で特定のコマンドを実行したところ、
本来非公開であるべき情報が明らかになってしまうリスクがあることも判明しました。

「ハッキング」と呼べるのか？ 議論も勃発

カルタ氏らがブログで「GoogleのAI、Geminiをハッキングしソースコードを一部漏えいさせた」と発表すると、
ソーシャルサイト「Hacker News」では以下のような指摘も飛び交いました。

💬 「単に ‘strings’ コマンドでバイナリからファイル名を拾っただけでは？」
💬 「機密性が高い情報とは言えないのでは？」

実際、漏えいしたとされる情報の多くはGitHub上に既に公開されているものであり、
極めて機密性が高いとは言い切れないものだった模様です。

ただし、
👉 Geminiが外部から取り込んだのではなく自ら公開してしまったため、
**「漏えい」**には違いないという反論も存在します。

バグ発見の楽しさと次回への期待

🏆 最も価値のあるハッカーに認められたカルタ氏は、
「このプロセスはとても楽しく、思い出深いものになった」
と振り返っています。

「隠されたコードを探索し、Geminiの限界に挑戦するのは、狩りのような興奮がありました。次回のLLM bugSWATでまたみんなと会えるのが楽しみです！」

と、次回への意欲も語っています。