Googleは2025年10月7日、AI製品のセキュリティ脆弱性に特化した新たな報奨金プログラム(バグバウンティ)を開始した。このプログラムは、大規模言語モデルや生成AIシステムを悪用し、セキュリティ上の問題を引き起こす攻撃手法の発見を奨励するものである。
対象となるのは、プロンプトインジェクションによってスマートホームのドアロックを不正に解除させたり、ユーザーのメールを要約して攻撃者のアカウントへ送信させたりするような、AIを道具として利用した悪意ある操作である。
報奨金は、検索、Gemini、Gmail、Driveといった主力製品で特に影響の大きい脆弱性が発見された場合、基本報奨金として最大2万ドルが支払われる。さらに、攻撃手法の革新性などが認められると最大1万ドルのノベルティボーナスが加算され、合計で最大3万ドルに達する。一方で、NotebookLMのような比較的新しいサービスや影響が限定的な脆弱性については、報奨金額は低めに設定されている。
Googleは2023年にAI関連の脆弱性を報奨金対象に加えて以来、研究者に対して累計43万ドル以上を支払っており、今回の専門プログラム新設でさらなる連携強化を目指す。
また同日、Googleは脆弱なコードを自動で修正するAIエージェント「CodeMender」も発表した。このAIは、過去6ヶ月間でオープンソースプロジェクトにおいて最大450万行規模のプロジェクトを含むコードを分析し、72件の脆弱性を自動で修正した実績がある。(最終的には人間によるレビューが行われている。)AIの脆弱性を別のAIが発見・修正するという、自己完結的なセキュリティ対策の未来像を示すものである。
From: 
Google’s AI bounty program pays bug hunters up to $30K
【編集部解説】
このプログラムが注目される理由は、GoogleがAIセキュリティを「コンテンツの問題」と「システムの脆弱性」に明確に切り分けた点にあります。従来は不適切な出力もバグ報告の対象と混同されがちでしたが、今回の制度では「AIを道具として使った攻撃」に焦点を絞っています。
プロンプトインジェクション攻撃は、AIが外部データを処理する際に悪意ある指示を紛れ込ませる手法です。カレンダーの招待状に仕込まれた命令でスマートホームが乗っ取られた過去の事例は、日常的なツールが攻撃の入口になり得ることを示しました。
報奨金の設計も興味深い点です。検索やGmailといった数億人が使う主力製品での発見には最大3万ドルを支払う一方、JulesやNotebookLMなど新興サービスは報奨額が低めに設定されています。これはユーザー数とリスクの大きさを反映した現実的な判断でしょう。
同時発表されたCodeMenderは、AIがAIの脆弱性を修正するという循環構造を生み出します。人間の監査を経ているとはいえ、セキュリティ対策そのものが自動化される未来が近づいています。
2年で43万ドルという支払実績は、バグハンターコミュニティが既にAIの弱点探しに本格参入していることを物語ります。生成AI時代のセキュリティは、従来のコード監査だけでなく「AIとの対話」そのものが攻撃対象になる新しいフェーズに入っています。
【用語解説】
プロンプトインジェクション
AIシステムに対して、本来意図されていない命令を外部から注入する攻撃手法。ユーザーが入力するテキストや、AIが参照する外部データの中に悪意ある指示を紛れ込ませることで、システムを不正に操作する。
大規模言語モデル(LLM)
膨大なテキストデータで訓練された自然言語処理AIモデル。文章生成、翻訳、要約など多様なタスクをこなすが、入力データの解釈方法によってはセキュリティリスクとなり得る。
データエクスフィルトレーション
システム内部の機密データを外部へ不正に転送する行為。プロンプトインジェクションの文脈では、AIに指示を与えてユーザーの個人情報やメールなどを攻撃者のアカウントへ送信させる攻撃を指す。
バグバウンティプログラム
企業がセキュリティ研究者に対して、自社製品の脆弱性を発見・報告することに報奨金を支払う制度。クラウドソーシング型のセキュリティ対策として広く採用されている。
ハルシネーション(幻覚)
AIが事実ではない情報を、あたかも正確であるかのように生成してしまう現象。今回のプログラムでは報奨対象外とされ、コンテンツ品質の問題として別チャネルで扱われる。
【参考リンク】
Google Bug Hunters(公式プログラムサイト)(外部)
Googleが運営するバグ報奨金プログラムの公式サイト。報奨金の条件、対象製品、報告方法などの詳細情報を提供している
Google AI(Gemini関連情報)(外部)
Googleの生成AI製品Geminiを含むAI技術全般の公式情報サイト。製品アップデート、研究成果、技術仕様を公開
Google DeepMind(CodeMender発表ページ)(外部)
GoogleのAI研究部門DeepMindの公式サイト。CodeMenderをはじめとする最新のAI研究成果や技術的詳細を掲載
Google Workspace(外部)
Gmail、Drive、カレンダーなどを統合したクラウドサービス。今回の報奨金プログラムでは主力製品として最高額対象となっている
【参考記事】
Google’s AI Vulnerability Reward Program – Official Announcement(外部)
Googleが公式ブログで発表したAI脆弱性報奨金プログラムの詳細。対象となる脆弱性の種類、報奨金額の内訳、報告ルールを明記
Introducing CodeMender: An AI Agent for Code Security(外部)
DeepMindが発表したコードセキュリティ向けAIエージェントCodeMenderの紹介。オープンソースへの72件の修正実績を説明
Google’s reward criteria for reporting AI safety and security issues(外部)
2023年10月にGoogleがAI研究者の参加を正式開始した際の発表記事。過去2年で43万ドル以上の報奨金支払い実績の起点となった
【編集部後記】
AIとの会話が日常になったいま、私たちは「対話の裏側」にどれほど注意を払っているでしょうか。カレンダーの招待状やメールの文面が、実はAIへの命令文になり得るという事実は、便利さと引き換えに新しいリスクを抱え込んだことを意味します。
バグハンターたちが見つける脆弱性は、私たち一般ユーザーが無防備に晒されている攻撃経路そのものです。みなさんがお使いのAIサービスは、どんな外部データを読み込んでいるでしょうか。そしてその入力元は本当に信頼できるものでしょうか。セキュリティは専門家だけの領域ではなく、使う側の意識がリスクを左右する時代になっています。
