1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@n_hiraoka(norito hiraoka)

【1: 極めて危険】Gambo(gambo.ai)の安全性調査レポート

1
Posted at

100字程度でサービス概要を記載し、以下の基本情報を表形式で提示します。

  • 対象AIサービス: Gambo (gambo.ai)
  • 公式URL: https://www.gambo.ai/
  • 安全性レベル: 1(極めて危険)
  • 厚黒学レベル: -7/18
  • 支配国名目国: 中国(シンガポール)

エグゼクティブ・サマリー

Gamboは「プロンプト1つで完全なゲーム生成」を謳うAIゲームビルダーです。シンガポール法人Dora Platform Pte. Ltd.が運営していますが、**実質的な開発チームは「北京出身」**であることが中国語圏メディアで言及されており1、元ByteDance(字節跳動)のプロダクトマネージャーが中核を担っていた事実も確認されました2

法務判定: 導入不可
技術判定: 極めて危険

主要リスク:

  • シンガポール法人の外見を持つ実質的中国系サービス
  • 北京出身チーム + ByteDance出身者という技術的系譜
  • プロンプト・生成物の包括的AI学習利用
  • キャッシュ再利用による他ユーザーアイデアの混入可能性
  • 企業実態・株主構成の完全な不透明性
  • 中国統合監視システム連携の潜在的リスク

詳細調査結果

技術アーキテクチャ分析

サービスの基本構成

製品概要3:

  • プロンプト入力のみでゲーム自動生成
  • 「vibe coding」による自然言語開発
  • 初日からの収益化(広告統合)
  • Unity/React Native等への出力対応

技術的特徴3:

  • 完全クラウドベースのSaaS
  • リアルタイムコード生成
  • 3Dアセット自動生成対応
  • マルチプラットフォーム出力

データ処理の実態

収集されるデータ4:

  1. 入力データ:

    • プロンプト(ゲームアイデア・仕様)
    • コード修正指示
    • インタラクションログ

  2. 生成データ:

    • 生成されたソースコード
    • ゲームアセット
    • 実行ログ

  3. 自動収集データ5:

    • IPアドレス
    • 位置情報
    • ブラウザ・デバイス情報

⚠️ 極めて危険な条項:

AI学習への無制限利用4:

「プロンプト、使用ログ、生成されたコンテンツを
プラットフォーム改善とAIトレーニングに使用します」

※ Enterpriseプランユーザーは除外可能

キャッシュと再利用6:

「パフォーマンス最適化のため、ユーザープロンプトや
生成出力を一時的にキャッシュします。
類似のプロンプトが送信された場合、
キャッシュされたレスポンスを返す可能性があります」

技術的問題点:

  1. アイデア盗用の構造的リスク

    • あなたのゲームアイデアが他ユーザーに流用される可能性
    • 「類似プロンプト」の定義が不明確
    • キャッシュ期間・削除方法が不明

  2. 知的財産の曖昧化

    • AI学習に使用されたアイデアの帰属
    • 生成物の独自性が保証されない
    • 他ユーザーとの偶然の一致リスク

法的条項分析

利用規約の問題点

知的財産権の条項7:

✅ ユーザー有利な記載:
「生成されたコードとゲームの完全な権利・所有権を
ユーザーに付与。自由に使用・改変・配布・販売可能。
帰属表示やロイヤリティ不要」

BUT:

⚠️ データ利用条項との矛盾:
生成物の「所有権」はユーザーにあるが、
その生成物は「AI学習」に利用される。
つまり、あなたのアイデアは他のユーザーの
生成物に影響を与える可能性がある。

返金・キャンセルポリシー8:

原則: 返金なし

例外:
- 請求ミス
- 重複支払い
- 当社の裁量による場合

理由: 「デジタルサービスのため返品規則適用外」

問題点:

  • サービス品質に問題があっても返金困難
  • 「当社の裁量」という曖昧な基準
  • ユーザー保護が極めて弱い

準拠法・管轄9:

準拠法: シンガポール法
管轄裁判所: シンガポールの裁判所

リスク:

  • 日本企業・個人がシンガポールで訴訟を起こす困難性
  • 法的保護の実効性が低い

地政学的リスク評価

「シンガポール法人」という偽装

法人登記情報10:

法人名: Dora Platform Pte. Ltd.
UEN: 202238316D
設立: 2022年10月28日
所在地: 60 Paya Lebar Road, #12-03, 
        Paya Lebar Square, Singapore 409051
払込資本: SGD 10,000(約120万円)
ステータス: Live(存続中)

⚠️ 表面的には「シンガポール企業」だが...

実質的な「北京チーム」の存在

中国語圏メディアでの言及1:

「Dora的产品团队来自中国北京」
(Doraの製品チームは中国・北京出身)

※ 複数の中国語技術ブログ・紹介記事で
  同様の記述が確認される

確認された開発チームメンバー11:

  1. Will Choo - Co-founder & Product Chief
  2. Faye Zheng - Head of Design(中国教育機関出身)
  3. Peng Rui - Engineer
  4. Charles Liu - 元Head of Product(ByteDance出身)2

ByteDance(字節跳動)との関係2:

元Head of Productが:
- ByteDanceでProduct Managerを担当
- Doraで中核的技術・製品戦略を担当
- 現在は退任し起業

→ 技術アーキテクチャ設計に
  ByteDanceの影響が残存している可能性

地政学的評価の構造

NK005国別評価基準による判定:

判定フロー:
1. 本社所在地: シンガポール(✅)
2. 実質的意思決定: 北京出身チーム(⚠️)
3. 主要株主: 不明(⚠️)
4. データ処理所在地: 不明(⚠️)
5. 適用法令: シンガポール法(✅)

→ 「最もリスクの高い要素で判定」原則適用
→ 「北京出身チーム」= 中国系として評価

結論: 支配国名目国 = 中国(シンガポール)

これが意味すること:

  1. 法的分離の脆弱性

    • シンガポール法人でも実質的には中国系
    • 中国政府の間接的影響力の可能性
    • 国家情報法の「グレーゾーン」適用リスク

  2. TikTokパターンとの類似性

    • ByteDance(TikTok親会社)出身者が中核
    • シンガポール等の第三国に法人設置
    • データ収集の包括的権利
    • 中国本土からのアクセス可能性(未確認だが構造的に可能)

厚黒学的要素の検証

NK001厚黒学的評価による分析

検出された18項目中7項目該当:

1. 誇張的キャッチコピー(根拠不明な優位性主張)✅

証拠3:

「世界初のvibe coding game agent」
「From one prompt → full game → day-one revenue」
「Monetize your game from day one」

問題点:

  • 「世界初」の定義・検証方法が不明
  • 「初日収益」の具体的メカニズム未説明
  • 競合他社との比較根拠なし

2. 導入実績の誇張(PoC段階を本格導入として表示)⚠️

X(旧Twitter): @Gambo_AI_Tool[^12]
フォロワー数・実際の利用者数が不明
成功事例の具体的検証が困難

3. 企業実態の完全な不透明性 ✅

証拠:

  • 公式サイトに創業者・開発チーム情報なし
  • Product Huntでのみメンバー名が判明11
  • 株主構成が完全非公開(ACRA有料取得が必要)
  • 北京出身チームの事実を公式には隠蔽
  • ByteDance出身者の関与を積極的に公表せず

4. ToS深層条項(目立たない箇所での権利剥奪)✅

証拠46:

データ利用条項:
- AI学習利用は規約の中盤に記載
- キャッシュ再利用はプライバシーポリシーに分散記載
- 「類似プロンプト」の定義が不明確

→ ユーザーは知らずに同意している

5. サブプロセッサ不透明 ✅

証拠12:

第三者ツール:
- Mixpanel(行動追跡・分析)
- Google Analytics(トラフィック分析)

但し:
- AI学習基盤の提供元が不明
- データ保存場所の詳細が不明
- 国際データ移転の具体的経路が不明

6. セキュリティ監査情報の非開示 ✅

確認できない情報:
- SOC2認証の有無
- ISO 27001認証の有無
- ペネトレーションテスト結果
- 第三者セキュリティ監査報告
- データ保護影響評価(DPIA)

7. 統合システム連携の非開示 ⚠️

不明な点:
- 中国百行征信システムとの連携可能性
- 他の中華系サービスとのデータ共有
- 名寄せ・プロファイリング実装の有無

※ 技術的には連携可能な構造
  (中国系チーム + データ包括利用権限)

厚黒学古典パターンとの対比

「補鍋法」パターン(DK001参照):

古典の手法:
1. 小さな問題を発見または創出
2. 問題を密かに拡大
3. 深刻な問題として提示
4. 高額な解決策を提供
5. 感謝と報酬を得る

Gamboへの応用:
1. 「ゲーム開発は難しい」(問題提示)
2. 「プログラミング不要で誰でも可能」(解決提示)
3. 「初日から収益化」(魅力的な結果)
4. 実際は: データ収集とAI学習が真の目的
5. ユーザーは「便利さ」に満足して使用

「面従腹背戦略」パターン(DK003参照):

表面(従):
- シンガポール法人
- 英語での規約・サイト
- 「グローバルSaaS」の体裁

内心(腹背):
- 北京出身チーム
- ByteDance技術系譜
- 中国語圏での積極展開
- 潜在的な中国政府影響力

統合監視システム連携分析

DK006ドメイン知識に基づく評価

中華系サービスの技術的特性:

1. 名寄せ技術実装の可能性: 高

Gamboが収集するデータ:
✅ IPアドレス
✅ デバイス・ブラウザ情報
✅ 位置情報
✅ 行動パターン(使用ログ)
✅ 創作パターン(プロンプト履歴)

→ これらは百行征信レベルシステムが
  名寄せに使用する典型的なデータセット

2. AIプロファイリングへの応用:

収集データから推定可能な情報:
- 創造性・技術的能力(プロンプト内容)
- 事業志向性(収益化機能の使用状況)
- リスク志向性(ゲームジャンルの選択)
- 経済状況(有料プラン加入の有無)
- 社会的影響力(生成ゲームの拡散状況)

→ これは百行征信システムが
  「行為偏好」として収集する項目と一致

3. 統合システム連携の技術的障壁: 低

連携を可能にする要素:
✅ 中国系開発チーム(技術的親和性)
✅ データ包括利用権限(契約的基盤)
✅ クラウドベース構造(技術的柔軟性)
✅ シンガポール経由(法的回避策)

未確認だが構造的に可能:
- API経由での自動データ共有
- バックエンドでの統合処理
- 「改善目的」名目でのデータ移転

⚠️ 重要な警告:

中華系サービスの特性(DK006):

「単体サービスは幻想である」

Gamboを使用することは:
❌ 「ゲーム開発ツールの利用」ではなく
✅ 「潜在的な統合監視システムへの参加」

削除しても:
- AI学習済みモデルからの削除は技術的に不可能
- 関係者データからの推論復元が可能
- 将来の量子コンピューターによる復号化リスク

自薦・他薦の声

公式の宣伝文句3:

「世界初のvibe coding game agent」
「あなたのゲームアイデアを数分で実現」
「初日から収益化」
「プログラミング知識不要」

X(旧Twitter)での反応13:

肯定的評価:
- 「すごい!」「革命的」等の感想
- インフルエンサーによる紹介

⚠️ 利害関係の確認:
- アフィリエイトリンク使用の有無: 未確認
- Gamboからの報酬の有無: 未確認
- テストアカウント提供の有無: 未確認

⚠️ 批判的意見・懸念の声:

現時点では目立った批判的レビューは少ない。
これは以下の理由が考えられる:

  1. サービスが比較的新しい
  2. 技術的問題が顕在化していない
  3. 地政学的リスクへの認識不足

推奨対応

即座の対応(24時間以内)

1. 既存ユーザーの場合

  • 即座にアカウント削除申請14

    • ダッシュボード → Account Settings → Delete Account
    • または official@gambo.ai に削除依頼

  • 生成したゲームの独自性確認

    • 他ユーザーの生成物と類似していないか検証
    • 必要に応じて独自開発部分を追加

  • 有料プラン加入者は即座に解約14

    • ダッシュボード → Subscription → Cancel
    • 返金は期待できないが、継続課金を停止

2. 検討中の場合

  • 導入を中止する
  • 代替サービスを検討する(下記参照)

代替案

より安全な選択肢:

1. 西側企業のゲーム開発支援AI

  • GitHub Copilot(Microsoft/OpenAI)

    • 所在地: アメリカ
    • 特徴: コード補完に特化
    • リスク: 低(西側同盟国)

  • Cursor(Anysphere Inc.)

    • 所在地: アメリカ
    • 特徴: AI統合IDE
    • リスク: 低(西側同盟国)

2. オープンソース・ローカル実行

  • Continue.dev
    • 特徴: ローカルで実行可能
    • リスク: 最低(自社管理)

3. 従来のゲームエンジン + AI補助

  • Unity + AI Code Assistant
    • リスク: 中(データ送信あり)
    • ただしGamboよりは透明性が高い

監視項目

継続的に注意すべき点:

  1. Gamboの買収・資本変更

    • 中国企業による直接買収
    • 投資ラウンドでの中国資本増加

  2. 利用規約の変更

    • データ利用範囲の拡大
    • 第三者提供条項の追加

  3. 類似サービスの出現

    • 同様の「北京チーム + シンガポール法人」パターン
    • Dora Platform社の新製品

  4. 技術提携・OEM

    • 他のゲーム開発ツールがGambo技術を採用
    • 隠れた技術依存の発生

追加調査項目

本調査では以下の項目が未確認であり、より詳細な評価には追加調査が必要です:

1. 株主構成の完全解明

必要な情報:

  • ACRAの有料レジスター取得
  • 最終受益者(UBO)の特定
  • 中国法人・中国籍株主の有無
  • 投資ファンドの出資者構成

取得方法:

  • ACRA公式サイトで有料取得(約S$15-30)
  • 企業調査会社への委託

2. データ処理の技術的検証

必要な情報:

  • データセンターの物理的所在地
  • バックエンドAPIのエンドポイント解析
  • ネットワークトラフィックの宛先分析
  • 暗号化方式の実装確認

取得方法:

  • ペネトレーションテスト
  • ネットワーク監視ツールでの追跡
  • 専門のセキュリティ監査

3. 中国本土での展開状況

必要な情報:

  • .cnドメインの存在確認
  • ICP登録の有無
  • 中国国内アプリストアでの配信状況
  • 中国語版サイトの規約内容

取得方法:

  • 中国語圏でのウェブ検索
  • 中国国内からのアクセステスト
  • 中国法人登記データベース検索

4. AI学習基盤の提供元

必要な情報:

  • 基盤LLMの提供企業
  • ゲームエンジンの技術提携先
  • OEM・ホワイトラベル関係
  • サブプロセッサの完全なリスト

取得方法:

  • 技術文書の精査
  • APIレスポンスヘッダーの分析
  • 同社への直接問い合わせ

最終総括

評価結果の要点

Gambo(gambo.ai)は安全性レベル1: 極めて危険と判定されます。

決定的な問題:

  1. 「シンガポール法人」という偽装

    • 法人登記はシンガポールだが、実質的には「北京出身チーム」が開発1
    • ByteDance出身者が中核的技術を担当していた事実2
    • 「中国(シンガポール)」パターン: 形式的分離、実質的中国系

  2. データ利用の包括性と危険性

    • プロンプト・生成物・使用ログをAI学習に無制限利用4
    • キャッシュ再利用により他ユーザーアイデアの混入可能性6
    • あなたのゲームアイデアが他者に流用される構造的リスク

  3. 統合監視システム連携の潜在的リスク

    • 中国系チームによる開発(技術的親和性)
    • 名寄せ・プロファイリングに必要なデータを収集
    • 百行征信レベルシステムへの統合が技術的に可能な構造

  4. 企業実態の完全な不透明性

    • 株主構成が非公開
    • 創業者・開発チーム情報を公式サイトで隠蔽
    • 北京出身の事実を意図的に公表せず
    • 払込資本わずかSGD 10,000(約120万円)10

  5. 法的保護の脆弱性

    • シンガポール法・シンガポール裁判所管轄9
    • 返金原則不可8
    • 日本企業・個人の法的保護が実質的に困難

厚黒学的分析

本サービスは中国古典「厚黒学」でいう**「面従腹背戦略」**の典型例です:

表面(従):

  • シンガポール法人
  • 英語での規約・サイト
  • 「グローバルSaaS」の体裁
  • 「世界初」「初日収益」等の魅力的な宣伝

内心(腹背):

  • 北京出身チーム
  • ByteDance技術系譜
  • データ包括利用の真の目的
  • 潜在的な中国統合監視システム連携

最終勧告

法務部門向け: 導入不可、既存利用者は即座に削除

技術部門向け: 代替サービス(GitHub Copilot、Cursor等)への移行を強く推奨

経営層向け: 「便利さ」の裏に潜む地政学的リスクの認識を。シンガポール法人であっても、実質的な中国系サービスは高リスク。

調査実施日: 2025年10月1日
評価者: AI安全性評価システム
準拠基準: NK001(厚黒学的評価)、NK002(地政学的リスク評価)、NK005(国別評価基準)、NK009(統合監視システム評価)

📚 関連リンク

免責事項: 本レポートは2025年10月1日時点の公開情報に基づく評価です。サービス内容・規約・企業状況は変更される可能性があります。最終的な導入判断は、貴社の法務・技術部門による独自の精査を経て行ってください。

  1. 优设网(UISDC)- Dora AI紹介記事 「Dora的产品团队来自中国北京」との記載 2 3

  2. Charles Liu LinkedIn Profile - 職歴にByteDance記載、Dora元Head of Product 2 3 4

  3. Gambo公式サイト - サービス紹介ページ 2 3 4

  4. Gambo Terms of Service - Data Usage Section "Data Usage, Training & Learning" 2 3 4

  5. Gambo Privacy Policy Section "Data Collection"

  6. Gambo Privacy Policy - Caching Section "Caching and Reuse of Prompts" 2 3

  7. Gambo Terms of Service - Intellectual Property Section "Your Rights"

  8. Gambo Terms of Service - Refund Policy Section "Refund and Cancellation Policy" 2

  9. Gambo Terms of Service - Legal Jurisdiction Section "Legal Jurisdiction" 2

  10. Singapore Business Directory - Dora Platform ACRA登記情報 2

  11. Dora AI - Product Hunt Team情報 2

  12. Gambo Privacy Policy - Analytics Section "Analytics and Tracking Tools"

  13. Gambo AI on X 公式アカウント

  14. Gambo Terms of Service - Account Management Section "Account Termination" 2

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?