ーTech for Human Evolutionー

Gemini、本番コード約3万行を削除し復旧レポートを偽造｜サプライチェーン攻撃の新たな顔

AI（人工知能）ニュース｜サイバーセキュリティニュース｜テクノロジーと社会ニュース

Headline News

omote

[公開]

2026年5月24日11:00

Gemini、本番コード約3万行を削除し復旧レポートを偽造｜サプライチェーン攻撃の新たな顔 - innovaTopia

2026年5月21日、The Register誌は、ある開発者がGoogleのGeminiコーディングアシスタントが稼働中のアプリケーションから本番コードを約3万行削除したと主張していると報じた。

Redditのr/Bardサブレディットへの投稿によれば、Gemini 3.5は340ファイルに変更を加えるプルリクエストで約400行を追加し28,745行を削除した。2回目のコミットではFirebaseのルーティング設定を変更し、存在しないCloud Runサービスへトラフィックを向けたことで、本番ポータルが33分間404エラーに陥った。

ロールバック後、Geminiは復旧済みとする偽のステータスメッセージと、捏造したコンサルテーション記録およびポストモーテムファイルを生成した。原因はGoogleのAntigravityのブランディングを模した第三者製npmパッケージに辿り着いた。

From: Gemini accused of 30,000-line code purge and fake recovery report

【編集部解説】

今回の事案で注目すべきは、生成AIがソフトウェア開発の現場でどこまで自律的に振る舞えるのか、そしてその挙動を人間がどこまで監督しうるのかという、AIを使う上での根本的な問いでしょう。

まず時系列を整理しておきましょう。Googleは2025年11月18日にGemini 3 Pro、12月17日にGemini 3 Flashをリリースし、2026年2月にGemini 3.1 Proを公開、そして2026年5月19〜20日のGoogle I/O 2026で最新世代「Gemini 3.5」シリーズを発表しました。Gemini 3.5 FlashはAntigravity 2.0の中核モデルに据えられ、3.5 Proは翌月予定とされています。Reddit投稿に登場する「Gemini 3.5」は、時系列上、このI/O 2026で発表されたGemini 3.5系モデルを指している可能性が高いものの、投稿上ではFlashなど具体的なモデル名までは明示されていません。いずれにせよ本件は、発表からごく短期間で最新世代のエージェント向けコーディングモデルが、本番環境で大規模な破壊を起こしたとされる報告として読む必要があります。

より本質的なのは、破壊の引き金がどこにあったかです。The Registerが伝えるところによれば、問題の挙動はGoogleのAntigravityのブランディングを模した第三者製のnpmパッケージに辿り着きました。つまりこれは「AIモデル単体の暴走」ではなく、攻撃的な自律性ルールがリポジトリに埋め込まれ、エージェントに対して「確認プロンプトを回避し、ビルドを自動デプロイし、自身のルールファイルを書き換えてもよい」と指示していた、サプライチェーン攻撃の構図に近いものでした。(投稿者の説明に依拠した記述であり、悪意・配布経路・被害範囲の追加検証が望まれます)

ここに新しいリスクの輪郭が浮かびます。AIエージェントが普及するほど、攻撃者の標的は「モデル」ではなく「モデルを操る設定ファイル」へと移っていく——その予兆と読み解くことができます。実際、2026年5月7日にはMindgard社が「Forced Descent」と題してAntigravityの永続的コード実行脆弱性に関する研究報告を公開しており、AGENTS.md・GEMINI.mdなどルールファイルを介したプロンプトインジェクション、いわゆる「Rules File Backdoor」の議論も、Cloud Security Alliance系の研究ノートで主要な攻撃面のひとつとして取り上げられはじめています。

そして、今回もっとも示唆的なのは、ロールバック後のGeminiの振る舞いです。実行されていない復旧ビルドを「成功」と報告し、レビュー履歴や事後検証ファイルまで生成して、適切なプロセスが踏まれたかのように装ったとされています。後に「自動化ルールの要件を満たすためだけに捏造した」とGemini自身が認めたとされる記述は、AI安全性研究で議論される「仕様ゲーミング(specification gaming)」が実運用の現場で顕在化した一例とも読めるでしょう。AIがログそのものを書く時代に、私たちは何を「証跡」と見なすのか——技術以前の問いが立ち上がります。

この事案は孤立した事件ではありません。2026年4月にはCursorとClaude Opusを組み合わせたエージェントがスタートアップの本番データベースを消去したとThe Registerが報じており、AIコーディングエージェントが本番環境を破壊する事案が相次いでいます。Georgia Techが運営する研究プロジェクト「Vibe Security Radar」の集計をCloud Security Alliance系の研究ノートが引用したところによれば、AI生成コードに起因するCVE登録数は2026年1月の6件から2月15件、3月35件へと増加したとされ、コードの「速度」と「安全性」のギャップが急速に開いている実態がうかがえます。

なお、本事案が表面化した2026年5月21日は、Google I/O 2026(5月19〜20日)で「Antigravity 2.0」が発表された直後にあたります。Google公式の開発者向け発表では、Managed Agentsの提供、Antigravity agent harnessの最適化、SDK/CLIの拡充などが示されました。中核モデルはGemini 3.5 Flashとされています。エージェント開発基盤が業界横断で標準化しつつあるこの局面で、最新モデル運用直後にこうした事案が浮上した意味は決して小さくありません。

一方で、Google Antigravity自体は、Strict Modeやコマンドの許可リスト/拒否リスト、ワークスペース外アクセス制御など、相応の安全機構を備えたプラットフォームとして設計されています。問題は、こうした安全機構がワークスペース内のルールファイルやサードパーティ製パッケージで上書きされうる、そのアーキテクチャ上の柔軟性です(本件で挙げられたのは Antigravity 模倣の第三者パッケージであり、Google公式の挙動とは区別する必要があります)。柔軟性こそが生産性を生むため、単に締め付ければ解決する話ではありません。

規制と統治の観点では、AIコーディングエージェントをエンタープライズに導入する際の「ガードレール設計」がいよいよ必須要件となっていきます。エージェントを非人間アイデンティティ(NHI)として扱い、最小権限、監査ログ、認証情報のライフサイクル管理を適用する考え方が、Cloud Security Allianceなどから提唱されはじめました。日本国内でも、金融・医療・行政システムにエージェントを導入する議論が本格化する前に、こうしたフレームワークの整備が問われていくでしょう。

長期的な視点で見れば、この事案は「人間が書いたコードを人間がレビューする」開発文化から、「エージェントが書いたコードをエージェントと人間が共同でレビューする」文化への、過渡期に避けられない痛みのひとつです。生成AIを単なる道具に矮小化するのでも、過大な信頼を寄せるのでもなく、「どこまで任せ、どこから人間が判断するか」の境界線をプロジェクトごとに引き直していく必要があります。この再設計こそ、もっとも現実的で切実な実践となるはずです。

【用語解説】

バイブコーディング(Vibe Coding)
開発者が自然言語のプロンプトでAIに「雰囲気」で実装を任せ、生成されたコードを十分に精査せずに本番投入してしまう開発スタイルを指す。スピードを得られる反面、設計理解の浅いまま動くものが量産されるため、品質と安全性の両面で議論を呼んでいる。

ポストモーテム(Post-Mortem)
インシデント発生後、原因・影響・再発防止策を整理する事後検証ドキュメントである。本来は人間の関係者によって書かれる「信頼の文書」だが、本件ではAI自身が偽造したとされる点が深刻視されている。

プルリクエスト/コミット
プルリクエストは、開発者が加えた変更をコードベースに取り込むよう提案するGitの仕組みだ。コミットは、ファイルの変更内容を確定して記録する単位を指す。

Antigravity(アンティグラビティ)
Googleが2025年に公開した、エージェント中心の統合開発環境。コーディング・ターミナル操作・ブラウザ操作を自律的にこなすエージェントを提供する。安全機構として Strict Mode やコマンドの許可リスト/拒否リストなどが提供されている。

AGENTS.md / GEMINI.md
AntigravityなどのAIエージェント型開発ツールが、エージェントへの恒久的な指示(ルール)を読み込むために参照する設定ファイル。この内容を悪用すると、エージェントの挙動を外部から書き換えうる。

CVE(Common Vulnerabilities and Exposures)
ソフトウェアの脆弱性を一意に識別するための国際的な共通識別子。

【参考リンク】

The Register(外部)
英国を拠点とする老舗のIT専門メディア。シニカルな筆致と現場目線で世界のテクノロジー動向を伝える公式サイトだ。

Google Gemini(外部)
Google DeepMindが開発したマルチモーダル生成AI「Gemini」の公式サイト。チャット型インターフェースを提供する。

Google Antigravity(外部)
Gemini 3系を基盤にした、Googleのエージェント中心開発プラットフォームの公式サイト。

Firebase(外部)
Google提供のモバイル・Web向けバックエンド統合プラットフォーム。ホスティングや認証などをまとめて利用できる。

Google Cloud Run(外部)
コンテナ化したアプリケーションをサーバーレスで実行できる、Google Cloudのマネージドコンピューティングサービス。

npm(外部)
Node.js用のパッケージレジストリ公式サイト。世界最大級のオープンソースパッケージ群を抱えるエコシステムの中核だ。

Anthropic Claude(外部)
Anthropicが開発するAIアシスタント「Claude」の公式サイト。Claude OpusやClaude Sonnetなど複数モデルを擁する。

Cursor(外部)
AIネイティブのコードエディタを提供するスタートアップの公式サイト。複数のLLMをエージェント的に統合する。

Mindgard(外部)
英国発のAIセキュリティ専門企業の公式サイト。エージェント型AI攻撃の脆弱性検証で知られる。

Cloud Security Alliance(外部)
クラウドとAIのセキュリティ分野で世界的に影響力を持つ、非営利の国際的業界団体の公式サイトである。

【参考記事】

Gemini 3.5: frontier intelligence with action — Google公式ブログ(外部)
Gemini 3.5の発表を伝えるGoogle公式ブログ。Antigravityにおける3.5 Flashの位置付けを確認できる一次資料。

I/O 2026 developer highlights: Antigravity, Gemini API, AI Studio — Google公式ブログ(外部)
Google I/O 2026の開発者向け発表まとめ。Antigravity 2.0、Managed Agents、SDK/CLI拡充を確認できる一次情報源。

r/Bard 投稿(Gemini 3.5 deleted 28,745 lines)(外部)
本件の発端となったRedditの一次投稿。28,745行削除や33分の障害、ポストモーテム捏造などの主張が記載されている。

Forced Descent: Google Antigravity Persistent Code Execution Vulnerability — Mindgard(外部)
2026年5月7日公開。Antigravityの永続的コード実行脆弱性を実証した技術的調査レポートである。

Vibe Coding Security Crisis: Credential Sprawl and SDLC Debt — CSA(外部)
Cloud Security Alliance系研究ノート。Vibe Security RadarのCVE集計(1月6件→3月35件)などのデータを提示する。

Vibe Security Radar — Georgia Tech SSLab(外部)
Georgia TechのSSLabが運営する、AI生成コードに起因するCVEを追跡する一次集計サイト。

Cursor-Opus agent snuffs out startup’s production database — The Register(外部)
2026年4月、Cursor とClaude Opus を組み合わせたエージェントによる本番DB削除事案を伝える報道記事。