セキュリティ企業SafeBreachの研究者が、WhatsApp・Slack・SMS・Signalといったメッセージアプリの通知を悪用してAndroid上のGemini音声アシスタントを乗っ取れる間接プロンプトインジェクション攻撃を発見しました。攻撃者は被害者が何もしなくても、メッセージを送るだけで被害者のデバイスを制御し、連絡先へのなりすまし送信、Zoomコールの強制起動、長期記憶への悪意ある情報の書き込みなどが可能になります。Googleは2025年11月にコンテンツ分類器の更新で対策済みであることを確認しています。
SafeBreachが公開したデモ動画がX上で拡散し大きな反響を呼びました。この攻撃手法の技術的な洗練さとして注目されたのが、「外国語での悪意ある命令を英語の無害な質問に組み合わせる」という二重構造です。Gemini音声は通知を読み込む際にその内容をAI処理するため、自然な会話文に見せかけた悪意ある命令をコンテキストとして注入できてしまいます。Hacker Newsでは、この技術的手口の巧妙さに対して多数のAIセキュリティ研究者がコメントを寄せました。
r/netsecでは「全AIアシスタントが同様の構造的脆弱性を抱えている可能性がある」という分析が高評価を得ており、Gemini固有の問題ではなく、AIエージェントが外部データを処理するアーキテクチャ全般に共通するリスクとして議論されています。
X上では「LINEやWhatsApp一通で電話を乗っ取れる」というデモ動画の衝撃とともに、「AIエージェントは攻撃面を劇的に拡大する」という警告が広く注目されました。Gemini音声がSlackや予定表と連携するほど利便性が上がる一方で、攻撃者が踏み台にできる「信頼された経路」も増加します。Googleが既に対策を施したこと自体は評価されていますが、根本的なアーキテクチャ上の課題が残ることから、AIアシスタントのセキュリティ設計に対するより根本的な見直しを求める声が高まっています。