Google Detail Arsitektur Keamanan untuk Fitur Agen AI Chrome

Google menerbitkan kerangka keamanan yang rinci untuk fitur agen AI Chrome yang akan datang, memperkenalkan beberapa lapisan pertahanan yang dirancang untuk melindungi pengguna saat agen yang ditenagai Gemini melakukan tugas browsing otonom.

Pengumuman dari insinyur keamanan Chrome Nathan Parker menguraikan empat pilar keamanan inti yang akan mengatur bagaimana agen AI berinteraksi dengan situs web atas nama pengguna. Arsitektur ini mengatasi risiko yang telah mengganggu sistem agenik awal, termasuk serangan injeksi prompt, akses data tidak sah, dan transaksi penipuan.

Pendekatan Google tiba saat pesaing berlomba untuk mengirimkan agen AI berbasis browser. OpenAI meluncurkan ChatGPT Atlas pada Oktober dengan kemampuan mode agen, sedangkan Perplexity mengirim browser Comet pada Juli. Kerangka keamanan ini menandakan niat Google untuk bergerak lebih hati-hati daripada pesaing yang fitur ageniknya telah terbukti rentan terhadap eksploitasi.

Empat Pilar Keamanan Agen

User Alignment Critic membentuk lapisan pertahanan pertama – model Gemini terpisah yang memeriksa setiap tindakan yang diusulkan oleh agen AI utama. Kritikus ini beroperasi dalam isolasi dan hanya memeriksa metadata tentang tindakan yang diusulkan daripada konten halaman penuh, mengurangi paparannya terhadap input berbahaya. Jika tindakan tampak berisiko atau tidak relevan dengan tujuan pengguna, kritikus dapat memerintahkan retry atau mengembalikan kontrol ke pengguna.

Origin Sets membatasi situs web dan elemen halaman yang dapat diakses oleh agen selama tugas tertentu. Sistem ini membedakan antara asal baca-saja di mana agen dapat mengonsumsi konten dan asal baca-tulis di mana dapat mengambil tindakan. Situs web dan iframe yang tidak terkait dihilangkan sepenuhnya, dengan fungsi gatting tepercaya yang diperlukan untuk menyetujui akses ke domain baru. Ini mencegah kebocoran data antar situs dan membatasi kerusakan potensial dari agen yang dikompromikan.

User Oversight memerlukan konfirmasi manual untuk operasi sensitif. Ketika agen menemukan portal perbankan, situs data medis, atau perlu mengakses kredensial yang disimpan dari Google Password Manager, Chrome menjeda dan meminta pengguna untuk menyetujui tindakan. Hal yang sama berlaku sebelum melakukan pembelian atau mengirim pesan – agen tidak dapat menyelesaikan tindakan ini secara otonom.

Prompt Injection Detection menggunakan klasifikasi khusus yang memindai halaman secara waktu nyata untuk upaya injeksi prompt tidak langsung. Sistem ini beroperasi bersama dengan infrastruktur Safe Browsing Chrome yang ada dan deteksi scam on-device untuk memblokir konten berbahaya yang dicurigai sebelum agen dapat bertindak atasnya.

Automated Red-Teaming dan Bug Bounties

Google mengembangkan sistem red-teaming otomatis yang menghasilkan situs tes dan serangan LLM-driven untuk terus memvalidasi arsitektur keamanan. Perusahaan ini memprioritaskan pengujian vektor serangan yang dapat menyebabkan kerusakan yang langgeng, terutama yang menargetkan transaksi keuangan atau pencurian kredensial.

Mekanisme auto-update Chrome akan mengirimkan perbaikan dengan cepat saat kerentanan baru ditemukan. Untuk mendorong penelitian keamanan eksternal, Google mengumumkan pembayaran bounty hingga $20.000 untuk peneliti yang mengidentifikasi kelemahan dalam kerangka browsing agenik.

Langkah-langkah pertahanan ini mencerminkan pelajaran yang dipelajari dari ekstensi browser AI awal dan integrasi chatbot, di mana serangan injeksi prompt terbukti sangat efektif dalam memanipulasi perilaku AI. Dengan mengisolasi model kritikus dan membatasi akses asal pada tingkat browser, Google bertujuan untuk mencegah halaman web itu sendiri menjadi permukaan serangan.

Implikasi untuk Perlombaan Browser AI

Pengungkapan keamanan rinci Google kontras dengan ketidakjelasan sekitar sistem browser agenik yang bersaing. Perusahaan ini tampaknya bertaruh bahwa pengguna perusahaan dan pengguna yang sadar keamanan akan menghargai pengaman yang transparan daripada fitur pertama kali.

Arsitektur ini juga menunjukkan apa yang Google anggap sebagai otonomi yang dapat diterima untuk agen AI. Belanja, penelitian, dan pengisian form dapat dilanjutkan dengan pengawasan, tetapi apa pun yang menyentuh akun keuangan, data kesehatan, atau kredensial yang disimpan memerlukan persetujuan manusia yang eksplisit. Ini menggambar garis yang jelas yang kurang ingin didefinisikan secara publik oleh vendor lain.

Untuk pengembang yang membangun di platform Chrome, pembatasan origin set akan memerlukan pertimbangan yang cermat tentang bagaimana fitur agenik berinteraksi dengan alur kerja multi-situs. Aplikasi yang mengharapkan agen untuk bebas menavigasi di seluruh domain mungkin perlu perubahan arsitektur untuk bekerja dalam model keamanan Google.

Google belum mengumumkan tanggal peluncuran spesifik untuk fitur browsing agenik di Chrome, tetapi kerangka keamanan rinci ini menunjukkan bahwa peluncuran sudah mendekat. Kemauan perusahaan untuk menerbitkan arsitektur pertahanan sebelum peluncuran menunjukkan kepercayaan pada pendekatan ini – dan tantangan implisit kepada pesaing untuk mencocokkan transparansi.