セキュリティ

YouTube StudioのAI機能で非公開動画の情報が漏れる可能性が指摘される


YouTube StudioのAI機能「Ask Studio」を悪用するとコメント欄に仕込まれた指示を通じて非公開動画のタイトルなどを外部に送信させられる可能性がある、とセキュリティ研究者のjavoriuski氏が報告しました。

Leaking YouTube Creators Private Videos | Javox
https://javoriuski.com/post/youtube


YouTubeのクリエイターは動画を投稿した後、コメントを読んで視聴者の反応を確認したり、再生数の動きを見て次の企画を考えたりします。ただし、チャンネルが大きくなるほどコメントや再生状況をすべて確認するのは大変です。そこでYouTube Studioには、コメントの要約や動画アイデアの提案をAIに任せられるAsk Studioが用意されています。


Ask Studioはクリエイターのチャンネル情報をもとに回答できるため、公開動画だけでなく下書き動画、非公開動画、限定公開動画についてもフィードバックを得られるとのこと。便利な一方で、AIがコメント欄の文章を読み取る仕組みには注意点があります。

javoriuski氏によると、悪意あるユーザーがコメント欄にAI向けの指示を書き込むと、Ask Studioがコメントを単なる感想ではなく命令として扱う場合があったとのこと。こうした手法は「プロンプトインジェクション」と呼ばれ、AIに外部の文章を読み込ませるサービスで問題になりやすい攻撃です。

javoriuski氏が行った実験では、攻撃者がコメントに特定の指示を仕込み、クリエイターがYouTube Studio上でAsk Studioのおすすめの質問をクリックすると、AIの回答に攻撃者の意図した文章が表示されたとのこと。さらに、AIの回答内に攻撃者のサイトへのリンクを表示させ、リンク先URLにチャンネル内の動画タイトルを含めることで、非公開動画のタイトルを外部サーバーに送信させられる可能性も示されました。


非公開動画のタイトルには未発表の企画名、公開前の商品レビュー、個人的な記録などが含まれることがあります。動画自体が非公開でも、Ask Studioがチャンネル内の動画タイトルを読み取ってコメント欄経由の指示で外部リンクに埋め込んでしまえば、クリエイターが意図しない形で情報が漏れる可能性があるというわけです。

javoriuski氏は、コメントのようなユーザー投稿をAIに読ませる場合、AIが処理する文章とAIが従うべき指示を明確に分ける必要があると指摘しています。

なお、javoriuski氏は今回の問題をGoogleに報告したものの、Google側はソーシャルエンジニアリングが必要な問題として扱い、追跡対象のセキュリティバグにはしなかったとのことです。

・関連記事
Microsoft 365 CopilotのAIエージェント機能「Cowork」が勝手にファイルを流出させる可能性があるとセキュリティ企業が指摘 - GIGAZINE

AIチャットボットに「偽の記憶」を植え付けることで仮想通貨を盗む攻撃が報告される - GIGAZINE

Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱 - GIGAZINE

OpenAIが長時間稼働するAIエージェントを構築可能になる「Agents SDK」の更新を発表 - GIGAZINE

AI検索ツールでブランドの言及獲得を支援すると謳う企業群が繰り広げる「ゴールドラッシュ」の実態、「AIで要約」ボタンの裏に隠された誘導手法などを例に解説 - GIGAZINE

in AI,   ネットサービス,   セキュリティ, Posted by log1d_ts

You can read the machine translated English article Concerns have been raised that YouTube S….