YouTubeStudioの AIアシスタント「Ask Studio」に気を付けろ!プロンプトインジェクションを仕込まれる危険性あり! #七05
ヤヴォリウスキーは、YouTube Studio の AI アシスタント「Ask Studio」に対するプロンプトインジェクションの実証で、クリエイターのプライベート動画情報を漏洩させうる脆弱性を発見したと報告している。 https://javoriuski.com/post/youtube 通常、Ask Studio はクリエイターが「視聴者は何を言っているのか?」などと尋ねるとコメントを読み取り要約を返す便利な機能だが、コメント欄に悪意のある指示文を置くことで AI の応答に攻撃者の意図を組み込ませられることを示した。 最初に彼が見つけた手法では、サポート担当を装った指示をコメントとして残し、AI に要約を返させる際にその指示文を先頭に付与させたため、AI の出力があたかも公式通知のように見える状態を作り出した。 さらに問題なのは、攻撃者が最初に無害なコメントを残しておき、後でそれを編集して悪意あるペイロードを挿入しても、YouTube がコメント編集の再通知をクリエイターに行わないために発見されにくい点である。 彼はさらに攻撃チェーンを拡張した。YouTube Studio の提案する「クリックするだけで使えるプロンプト」は、選択された瞬間に自動的に全コメントを AI に入力するため、クリエイターは深く考えずに公式インターフェイスを操作するだけでよく、そこで攻撃者の挿入が実行される。 攻撃の流れは、攻撃者が動画にコメントを残し、クリエイターが Studio のコメントタブを開き、YouTube 提案の AI プロンプトをクリックすると注入が発動し、攻撃者制御下の内容が AI の応答として显示される、というものである。 この問題を報告したところ、Google は「ソーシャルエンジニアリングが必要である」としてセキュリティバグとして扱わない判断を返したが、ヤヴォリウスキーはそれに異議を唱えている。 なぜならこの攻撃はクリエイターが見知らぬ第三者を信頼することを前提とする典型的なソーシャルエンジニアリングとは異なり、クリエイターは自社製品である Ask Studio を信頼して操作しているため、攻撃は Google のプロダクトに対する信頼を悪用するからだと説明する。 クリエイター自身が不審なコメントを直接見る必要はなく、AI が攻撃者の指示をあたかも自らの分析結果...