Google détaille l’architecture de sécurité pour les fonctionnalités d’agent IA de Chrome

Google a publié un cadre de sécurité détaillé pour les futures fonctionnalités d’agent IA de Chrome, introduisant plusieurs couches de défense conçues pour protéger les utilisateurs lorsque les agents alimentés par Gemini effectuent des tâches de navigation autonomes.

L’annonce de l’ingénieur de sécurité de Chrome, Nathan Parker, décrit les quatre piliers de sécurité essentiels qui régiront la façon dont les agents IA interagissent avec les sites Web au nom des utilisateurs. L’architecture aborde les risques qui ont touché les premiers systèmes d’agent, notamment les attaques d’injection de prompt, l’accès non autorisé aux données et les transactions frauduleuses.

L’approche de Google arrive alors que les concurrents se disputent pour lancer des agents de navigateur basés sur l’IA. OpenAI a lancé ChatGPT Atlas en octobre avec des capacités de mode agent, tandis que Perplexity a lancé son navigateur Comet en juillet. Le cadre de sécurité signale l’intention de Google de procéder plus prudemment que les concurrents dont les fonctionnalités d’agent ont déjà été montrées vulnérables à l’exploitation.

Quatre piliers de la sécurité de l’agent

Le critique d’alignement de l’utilisateur forme la première couche de défense – un modèle Gemini distinct qui vérifie chaque action que l’agent IA principal propose. Ce critique fonctionne en isolation et examine uniquement les métadonnées sur les actions proposées, plutôt que le contenu complet de la page, réduisant ainsi son exposition aux entrées malveillantes. Si une action semble risquée ou non pertinente par rapport à l’objectif déclaré de l’utilisateur, le critique peut ordonner une nouvelle tentative ou renvoyer le contrôle à l’utilisateur.

Les ensembles d’origine restreignent les sites Web et les éléments de page auxquels un agent peut accéder lors d’une tâche donnée. Le système distingue les origines en lecture seule où l’agent peut consommer du contenu et les origines en lecture-écriture où il peut effectuer des actions. Les sites Web et les iframes non liés sont entièrement supprimés, avec une fonction de contrôle de confiance requise pour approuver l’accès à de nouveaux domaines. Cela empêche les fuites de données entre les sites et limite les dommages potentiels en cas d’agent compromis.

La surveillance de l’utilisateur nécessite une confirmation manuelle pour les opérations sensibles. Lorsqu’un agent rencontre des portails bancaires, des sites de données médicales ou a besoin d’accéder aux informations d’identification stockées dans Google Password Manager, Chrome pause et invite l’utilisateur à approuver l’action. La même chose s’applique avant d’effectuer des achats ou d’envoyer des messages – l’agent ne peut pas effectuer ces actions de manière autonome.

La détection d’injection de prompt emploie un classificateur dédié qui analyse les pages en temps réel pour détecter les tentatives d’injection de prompt indirecte. Ce système fonctionne aux côtés de l’infrastructure de navigation sécurisée de Chrome et de la détection de scams sur appareil pour bloquer le contenu suspect avant que l’agent ne puisse agir.

Test de pénétration automatisé et programmes de primes

Google a développé des systèmes de test de pénétration automatisés qui génèrent des sites de test et des attaques pilotées par LLM pour valider en continu l’architecture de sécurité. L’entreprise donne la priorité au test des vecteurs d’attaque qui pourraient causer des dommages durables, en particulier ceux ciblant les transactions financières ou le vol d’informations d’identification.

Mécanisme de mise à jour automatique de Chrome livrera des correctifs rapidement dès que de nouvelles vulnérabilités sont découvertes. Pour encourager la recherche de sécurité externe, Google a annoncé des paiements de prime jusqu’à 20 000 $ pour les chercheurs qui identifient des faiblesses dans le cadre de navigation d’agent.

Les mesures de défense reflètent les leçons tirées des premières extensions de navigateur IA et des intégrations de chatbot, où les attaques d’injection de prompt se sont avérées étonnamment efficaces pour manipuler le comportement de l’IA. En isolant le modèle de critique et en restreignant l’accès à l’origine au niveau du navigateur, Google vise à empêcher la page Web elle-même de devenir une surface d’attaque.

Implications pour la course aux navigateurs IA

La divulgation détaillée de la sécurité de Google contraste avec l’opacité relative entourant les systèmes de navigateur d’agent concurrents. L’entreprise semble miser sur le fait que les utilisateurs d’entreprise et les utilisateurs sensibles à la sécurité valoriseront les garanties de transparence sur les fonctionnalités de premier mouvement.

L’architecture suggère également ce que Google considère comme une autonomie acceptable pour les agents IA. Les achats, la recherche et le remplissage de formulaires peuvent se poursuivre avec une surveillance, mais tout ce qui touche aux comptes financiers, aux données de santé ou aux informations d’identification stockées nécessite une approbation humaine explicite. Cela trace une ligne claire que d’autres fournisseurs n’ont pas été disposés à définir publiquement.

Pour les développeurs qui construisent sur la plate-forme Chrome, les restrictions d’ensemble d’origine nécessiteront une considération attentive de la façon dont les fonctionnalités d’agent interagissent avec les flux de travail multisites. Les applications qui s’attendent à ce que les agents naviguent librement entre les domaines peuvent nécessiter des modifications architecturales pour fonctionner dans le modèle de sécurité de Google.

Google n’a pas annoncé de date de lancement spécifique pour les fonctionnalités de navigation d’agent dans Chrome, mais le cadre de sécurité détaillé suggère que le déploiement approche. La volonté de l’entreprise de publier l’architecture de défense avant le lancement indique une confiance dans l’approche – et un défi implicite aux concurrents pour égaler sa transparence.