Google Chromeに内蔵された「Gemini Live」サイドパネル機能に、CVSS 8.8の深刻な脆弱性(CVE-2026-0628)が存在していたことが明らかになりました。悪意ある拡張機能が基本的な権限のみでユーザーのカメラ・マイクへのアクセス、スクリーンショット取得、ローカルファイルアクセスを取得できる状態でした。
脆弱性の根本原因は「WebViewタグにおけるポリシー強制の不備」です。Palo Alto Networks Unit 42の研究者Gal Weizman氏によって発見され、2025年11月23日にGoogleへ報告されました。攻撃者は特別に細工した拡張機能をユーザーにインストールさせるだけで、Geminiサイドパネルに任意のJavaScriptコードを注入し、権限昇格を達成できる状態でした。
この脆弱性が悪用されると、ユーザーの明示的な許可なくカメラ・マイクを起動したり、閲覧中の任意のウェブサイトのスクリーンショットを取得したり、ローカルファイルシステムにアクセスしたりすることが可能でした。Hacker News上では「AIサイドパネルがブラウザレベルの権限を継承する設計上の問題」との指摘が相次いでいます。ブラウザに組み込まれたAI機能が持つ特権が、拡張機能という攻撃ベクトルを通じて悪用されるリスクが顕在化した形です。
Googleは2026年1月初旬にChrome 143.0.7499.192(Windows/Mac/Linux)でパッチを提供済みです。X上では「すぐにChromeをアップデートすべき。バージョン143.0.7499.192以降で修正」との声が広がっています。AIアシスタントがブラウザに深く統合される時代において、権限分離とセキュリティ設計の重要性を改めて示す事例となりました。