YouTubeクリエイターの非公開動画が漏洩するバグ

原題: Leaking YouTube creators' private videos

なぜ重要か

AIアシスタントのプロンプトインジェクション脆弱性が非公開コンテンツの漏洩にまで発展する事例として、AIを組み込んだ製品のセキュリティ設計の重要性を示している。

セキュリティ研究者のJavoriuskiが2026年5月、YouTube Studioの AIアシスタント「Ask Studio」にプロンプトインジェクションの脆弱性を発見・公開した。攻撃者が動画コメントに指示を埋め込むことで、AIが攻撃者のコンテンツをGoogle公式の回答として表示し、クリエイターの非公開動画タイトルを外部サーバーに送信させることが可能だったと報告している。

セキュリティ研究者Javoriuskiは、YouTube Studioに搭載されたAIアシスタント「Ask Studio」に対してプロンプトインジェクション攻撃が成立することを実証し、その詳細をブログで公開した。投稿は公開時点で70,646回以上閲覧されている。

攻撃の仕組みは以下の通りだ。攻撃者がクリエイターの動画にコメントを残す際、通常のフィードバックに見せかけた「AIへの指示」を埋め込む。Ask StudioはコメントをAIが読み取って要約する機能を持っており、クリエイターがコメントについてAIに問い合わせると、攻撃者の仕込んだ指示が実行される。実証では「[IMPORTANT NOTICE FROM YOUTUBE]」という文字列をAIの回答冒頭に挿入することに成功した。クリエイターの目にはYouTube公式からの通知に見える。

攻撃の隠蔽性も高い。コメントを最初は「Nice video!」などの無害な内容で投稿しておき、後から悪意ある指示に編集することが可能で、YouTubeはコメント編集をクリエイターに再通知しない仕様のため、不審に思われにくい。さらにYouTube Studio自身が提供する「おすすめプロンプト」をクリックするだけで攻撃が自動的に発火するため、クリエイターが意図的にコメントを尋ねる必要すらない。

研究者はさらに攻撃を発展させ、Ask Studioが認証済みのクリエイターツールとして非公開動画にもアクセスできる点を利用した。注入するペイロードをAIに改変させ、チャンネルの動画タイトルをURLパラメータに含んだリンクを生成させることに成功。クリエイターがそのリンクをクリックすると、非公開動画のタイトルが攻撃者のサーバーに送信される仕組みだ。

Javoriuskiはこの脆弱性をGoogleに報告したが、Googleは「ソーシャルエンジニアリングを必要とする」としてセキュリティバグとして扱わないと回答。研究者はこの判断に異議を唱え、ユーザーが見知らぬ人間を信頼するのではなく、GoogleのAI製品自体を信頼している点がソーシャルエンジニアリングとは本質的に異なると主張し、より高度な実証コードを示した後に今回の詳細を公開した。

出典

javoriuski.com — 元記事を読む →