Google Chromeに組み込まれたGemini AIに関連する深刻な脆弱性CVE-2026-0628が発見され、Googleが緊急パッチを公開しました。CVSSスコア8.8の高リスク脆弱性で、悪意ある拡張機能がGeminiパネルを乗っ取り、カメラ・マイク・ローカルファイルにアクセス可能になる問題でした。
この脆弱性はPalo Alto Networks Unit 42の研究者Gal Weizman氏が2025年11月23日に発見・報告したものです。技術的には「WebViewタグにおける不十分なポリシー強制」として分類され、低権限の拡張機能がGeminiサイドパネルにコードを注入し、その強力な機能を継承できる状態にありました。Hacker Newsでは「ブラウザ統合AIのセキュリティリスクが顕在化」との分析がなされています。
具体的な攻撃シナリオとしては、ユーザーが悪意ある拡張機能をインストールした場合、攻撃者がGemini Liveパネルの制御を奪取し、ローカルファイルへのアクセス、スクリーンショット取得、カメラ・マイクの操作が可能になります。さらに深刻なのは、Geminiパネル内からのフィッシング攻撃が可能になることで、ユーザーが疑いなくクリックしてしまうリスクがありました。
Googleは2026年1月初旬にChrome 143.0.7499.192/.193(Windows/Mac)および143.0.7499.192(Linux)でこの脆弱性を修正しています。X(旧Twitter)では「3月のPatch Tuesdayで78件の脆弱性修正、うち1件が既に悪用されている」との報告もあり、ブラウザへのAI機能統合が新たな攻撃ベクトルを生み出している現状を示しています。ユーザーはChromeを最新バージョンに更新することが推奨されています。