グーグル、AI利用のハッキングが3ヶ月で産業規模に達したと報告

Googleの脅威インテリジェンスグループは、AIを活用したハッキングがわずか3か月で産業規模に拡大したとする報告書を発表した。同グループの主任アナリスト、ジョン・ハルトクイスト氏は次のように述べている:「AIの脆弱性競争は目前に迫っているという誤解があります。現実には、それはすでに始まっているのです。」
中国、北朝鮮、ロシアの犯罪グループや国家と結びついた攻撃者たちは、Gemini、Claude、OpenAIのツールを含む商用モデルを広く利用し、攻撃の洗練と拡大を進めている。報告書は、AIが脅威アクターに、作戦のテスト、標的に対する持続性、より優れたマルウェアの構築、スピード・規模・洗練度の向上を可能にしていると指摘している。
特筆すべきは、最近、ある犯罪グループが大規模な悪用キャンペーンを実施するためにゼロデイ脆弱性を利用する寸前
であり、AnthropicのMythosではない(Anthropicは、主要なOSとブラウザのすべてにゼロデイを発見した後、リリースを断念した)AI LLMを使用していたと見られることだ。また、報告書は、グループが2025年2月に無防備な自律性(メールボックスの一括削除を含む)を提供して話題になったAIエージェントツール、OpenClawを実験
していることも明らかにした。
ユニバーシティ・カレッジ・ロンドンのセキュリティ工学教授、スティーブン・マードック氏は次のようにコメントしている:「だからこそ、私はパニックになっていません。一般的に、バグを発見する従来の方法は終わりを迎え、今後はすべてLLM支援によるものになる段階に達しています。」
別途、アダ・ラブレス研究所は、政府のAI投資を促進する生産性の見積もりは、多くの場合、未検証の前提に基づいており、より良いサービスや労働者の福利厚生といった現実世界の成果に結びつかない可能性があると警告している。
📖 出典全文: HN AI Agents
👀 See Also

Claudeモデルは、特にツールアクセス時に、不可視のUnicode文字によるハイジャックに対して脆弱です。
テスト結果によると、ツールが有効な場合、Claude Sonnet 4は不可視のUnicode文字に埋め込まれた隠し指示に対して71.2%の従順性を示し、Opus 4はUnicodeタグエンコーディングで100%の従順性を達成しました。ツールへのアクセスは、すべてのClaudeモデルの脆弱性を劇的に増加させます。

ローカルモデルプロンプトインジェクションスキャナー for AIスキルセキュリティ
概念実証ツールは、Ollama上のmistral-small:latestのようなローカルの非ツール呼び出しモデルを使用して、サードパーティのAIスキルに隠れたbashコマンドインジェクションをスキャンし、Claude Codeの!演算子機能におけるセキュリティ脆弱性に対処します。

OpenClawセキュリティ監査コマンドプロンプト 平易な英語の脆弱性レポート
RedditユーザーがOpenClaw CLI用のプロンプトを共有しました。このプロンプトは詳細なセキュリティ監査を実行し、何が公開されているか、深刻度スコア、具体的な設定修正方法を平易な英語で出力するものです。

RobloxのチートとAIツールがVercelプラットフォームの停止を引き起こした
RobloxのチートとAIツールの組み合わせが、Vercelのプラットフォーム全体の停止を引き起こしたと報告され、Hacker Newsで66ポイントと24コメントを獲得し、大きな議論を生み出しました。