Palo Alto NetworksのUnit 42に所属するガル・ワイズマンは2026年3月2日、Google ChromeのGemini Live in Chrome機能に深刻度「High」の脆弱性(CVE-2026-0628)を発見したことを公表した。
この脆弱性は、基本的な権限のみを持つ悪意あるブラウザ拡張機能が、declarativeNetRequests APIを利用してGeminiパネルにJavaScriptコードを注入し、乗っ取ることを可能にするものである。攻撃者はこれにより、ユーザーの同意なくカメラやマイクを起動し、ローカルファイルやディレクトリにアクセスし、HTTPSサイトのスクリーンショットを取得し、フィッシング攻撃を実行できた。
これらの行為はGeminiボタンのクリック以外にユーザー操作を必要としなかった。Unit 42は2025年10月23日にGoogleへ責任ある開示を行い、Googleは2026年1月初旬に修正プログラムをリリースした。
From: 
Taming Agentic Browsers: Vulnerability in Chrome Allowed Extensions to Hijack New Gemini Panel
【編集部解説】
今回の脆弱性は、ブラウザにAIを統合する「エージェント型ブラウザ」という新しいカテゴリが抱える構造的リスクを、具体的な形で示した事例です。
NVDによる正式な分類では、この脆弱性はCVSSスコア8.8と評価され、「WebViewタグにおける不十分なポリシー適用」と記述されています。修正はChrome バージョン143.0.7499.192/.193(Windows/Mac)および143.0.7499.192(Linux)で適用されました。
なお、開示日について、元記事のUnit 42は「2025年10月23日」としていますが、The Hacker Newsの報道では「2025年11月23日」と記載されています。一次情報であるUnit 42の記述を本記事では採用しています。
この脆弱性の本質的な問題は、従来のブラウザセキュリティモデルにおける「拡張機能はブラウザ本体を制御できない」という大前提が崩れた点にあります。通常のWebタブでGeminiにアクセスしても特別な権限は得られませんが、ブラウザに組み込まれたGeminiパネルはカメラ、マイク、ローカルファイルへのアクセスといった強力な権限を持っています。攻撃者は広告ブロッカーなどが日常的に使う基本的なAPI(declarativeNetRequests)を悪用するだけで、このパネルを乗っ取ることが可能でした。
企業環境への影響も見過ごせません。悪意ある拡張機能の脅威は年々深刻化しており、2025年12月にはKoi Securityが7年間潜伏した後にスパイウェア化したブラウザ拡張機能を発見し、ChromeとEdgeで合計430万ユーザーが影響を受けたと報告しています。2026年2月にはLayerX Securityが、AIアシスタントを装った32の悪意ある拡張機能群(AiFrameキャンペーン)を特定しました。こうした拡張機能ベースの攻撃にAIパネルの特権が組み合わさることで、従業員のカメラ映像や社内ファイルが流出するリスクは格段に高まります。
こうした状況を受け、2025年12月にはGartnerがCISOに対してAIブラウザの使用を当面ブロックするよう推奨する指針を出しています。米国では2026年度国防権限法(NDAA)においてAIが生み出すサイバーセキュリティ上の固有の課題への対応が盛り込まれるなど、規制面でも動きが加速しています。
ポジティブな側面として、AIブラウザはリアルタイムの情報要約、複雑なタスクの自動実行、コンテキストに応じた動的な支援など、従来は不可能だった生産性向上を実現する技術でもあります。課題は、この利便性と安全性のバランスをいかに設計段階から組み込むかという点に集約されます。
長期的には、AIエージェントを「人間と同等のアクター」として扱い、ゼロトラストモデルをエージェント間通信にも適用するという、セキュリティアーキテクチャの根本的な再設計が求められていくことになるでしょう。
【用語解説】
エージェント型ブラウザ(Agentic Browser)
AIアシスタントを統合し、ユーザーに代わってWeb上で自律的にタスクを実行できる新しいカテゴリのブラウザ。従来のブラウザと異なり、情報の要約や複数ステップの操作を自動で行う。
CVE(Common Vulnerabilities and Exposures)
ソフトウェアの脆弱性に付与される国際的な識別番号体系。CVE-2026-0628の「2026」は登録年、「0628」は連番を示す。
CVSSスコア(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0〜10.0で定量評価する国際標準指標。今回のCVE-2026-0628はスコア8.8で「High(高)」に分類される。
declarativeNetRequests API
Chrome拡張機能がHTTPSリクエストやレスポンスを傍受・変更するために使用するAPI。広告ブロッカーなどが正当な目的で利用するが、今回はこのAPIが攻撃の起点となった。
特権昇格(Privilege Escalation)
本来与えられた権限を超えてシステムリソースへのアクセスを獲得する攻撃手法。今回は基本権限しか持たない拡張機能がブラウザ本体レベルの権限を取得できた。
プロンプトインジェクション
AIに対して悪意ある指示を埋め込み、本来の動作とは異なる行為を実行させる攻撃手法。エージェント型ブラウザにおいて特に深刻なリスクとされる。
同一オリジンポリシー(SOP: Same-Origin Policy)
Webブラウザの基本的なセキュリティ機構。あるオリジン(ドメイン+プロトコル+ポート)のスクリプトが、別のオリジンのリソースにアクセスすることを制限する。
ゼロトラストモデル
ネットワーク内外を問わず、すべてのアクセスを信頼せず検証するセキュリティモデル。エージェント型ブラウザにおいてはAIエージェント間の通信にも適用すべきとされている。
【参考リンク】
Gemini in Chrome 公式ページ(Google)(外部)
ChromeブラウザにAIアシスタントとして統合されたGemini機能の公式紹介ページ。Gemini Liveの音声対話機能なども提供する。
Unit 42(Palo Alto Networks)(外部)
Palo Alto Networksの脅威インテリジェンスチーム。マルウェア分析や脆弱性調査を専門とし、今回の脆弱性を発見・報告した。
Prisma Browser(Palo Alto Networks)(外部)
Palo Alto Networksが提供するエンタープライズ向けセキュアブラウザ。拡張機能ベースの攻撃やフィッシング脅威に対する保護機能を備える。
NVD(National Vulnerability Database)(外部)
米国NISTが運営する脆弱性データベース。CVE-2026-0628を含むすべての公開脆弱性情報が登録されている。
【参考記事】
New Chrome Vulnerability Let Malicious Extensions Escalate Privileges via Gemini Panel(外部)
CVSSスコア8.8、修正バージョン143.0.7499.192/.193など元記事にない技術的詳細を補完するThe Hacker Newsの詳報。
Bug in Google’s Gemini AI Panel Opens Door to Hijacking(外部)
エージェント型ブラウザには設計段階からのネイティブセキュリティが必要と指摘するDark Readingの分析記事。
Vulnerability Allowed Hijacking Chrome’s Gemini Live AI Assistant(外部)
Geminiパネル内で実行されるコードがAI機能へのアクセス権を得る仕組みを技術的に解説するSecurityWeekの報道。
“Sleeper” browser extensions woke up as spyware on 4 million devices(外部)
7年間潜伏後にスパイウェア化した拡張機能がChrome/Edgeで430万ユーザーに影響を与えた事例のMalwarebytes報道。
300 Malicious Chrome Extensions Exposed In Massive Data Theft Campaign(外部)
約3,740万ユーザーに影響した悪意ある拡張機能の大規模キャンペーンに関する2026年2月時点の報道。
Agentic Browser Security: 2025 Year-End Review(外部)
2025年に発見されたエージェント型ブラウザの脆弱性を時系列で整理したWiz Blogの包括的な年末レビュー。
【編集部後記】
皆さんのブラウザには、いくつの拡張機能がインストールされていますか? 便利なツールとして何気なく追加したものが、AIブラウザの進化とともに思わぬリスクを抱える時代に入りつつあります。
この機会に、ご自身のブラウザ環境を一度見直してみるのも良いかもしれません。私たちも引き続き、AIとセキュリティの交差点で起きていることを追いかけていきます。
