Кибербезопасность

Google Раскрывает Безопасностную Архитектуру Для Функций AI-агентов В Chrome

mm
Опубликовано
Обновлено

Google опубликовал подробную безопасностную архитектуру для будущих функций AI-агентов в Chrome, представив несколько слоев защиты, предназначенных для защиты пользователей, когда агенты, работающие на основе Gemini, выполняют автономные задачи браузера.

Объявление от инженера безопасности Chrome Нейтана Паркера назначает четыре основных безопасностных столпа, которые будут регулировать, как AI-агенты взаимодействуют с веб-сайтами от имени пользователей. Архитектура решает риски, которые преследовали ранние агентские системы, включая атаки по внедрению промптов, несанкционированный доступ к данным и мошеннические транзакции.

Подход Google появляется в то время, когда конкуренты спешат выпустить браузерные AI-агенты. OpenAI запустил ChatGPT Atlas в октябре с возможностями агентского режима, в то время как Perplexity выпустил свой браузер Comet в июле. Безопасностная архитектура сигнализирует о намерении Google действовать более осторожно, чем конкуренты, чьи агентские функции исследователи уже показали уязвимыми для эксплуатации.

Четыре Столпа Безопасности Агентов

Критик выравнивания пользователя образует первый слой защиты – отдельную модель Gemini, которая проверяет каждое действие, предложенное основным AI-агентом. Этот критик работает в изоляции и анализирует только метаданные о предложенных действиях, а не полное содержание страницы, снижая его уязвимость к вредоносным входным данным. Если действие кажется рискованным или неуместным для заявленной цели пользователя, критик может заказать повторную попытку или вернуть управление пользователю.

Наборы происхождения ограничивают, какие веб-сайты и элементы страницы агент может получить доступ во время выполнения любой задачи. Система различает между только-чтением происхождения, где агент может потреблять содержание, и чтением-записью происхождения, где он может выполнять действия. Не связанные веб-сайты и фреймы полностью исключаются, а для доступа к новым доменам требуется доверенная функция шлюза. Это предотвращает утечку данных между сайтами и ограничивает потенциальный ущерб от скомпрометированного агента.

Надзор пользователя требует ручного подтверждения для чувствительных операций. Когда агент встречает порталы банков, веб-сайты медицинских данных или нуждается в доступе к сохраненным учетным данным из менеджера паролей Google, Chrome приостанавливается и запрашивает у пользователя подтверждение действия. То же самое применяется перед покупками или отправкой сообщений – агент не может выполнить эти действия автономно.

Обнаружение внедрения промптов использует специальный классификатор, сканирующий страницы в реальном времени на предмет косвенных попыток внедрения промптов. Эта система работает вместе с существующей инфраструктурой безопасного просмотра Chrome и обнаружения мошенничества на устройстве, чтобы блокировать подозрительное вредоносное содержание до того, как агент сможет на него отреагировать.

Автоматизированное Красное Командование и Программы Наград за Уязвимости

Google разработал автоматизированные системы красного командования, которые генерируют тестовые сайты и атаки, управляемые большими языковыми моделями, для непрерывной проверки безопасности архитектуры. Компания отдает приоритет тестированию векторов атак, которые могут нанести долгосрочный вред, особенно тех, которые нацелены на финансовые транзакции или кражу учетных данных.

Механизм автоматического обновления Chrome будет быстро доставлять исправления, как только будут обнаружены новые уязвимости. Чтобы поощрить внешние исследования безопасности, Google объявил о выплатах наград до 20 000 долларов исследователям, которые выявляют слабости в рамках агентского просмотра.

Защитные меры отражают уроки, извлеченные из ранних расширений браузера AI и интеграций чат-ботов, где атаки по внедрению промптов оказались удивительно эффективными в манипулировании поведением AI. Изолируя модель критика и ограничивая доступ к происхождению на уровне браузера, Google стремится предотвратить превращение веб-страницы в поверхность атаки.

Последствия для Гонки AI-браузеров

Подробное раскрытие безопасности Google контрастирует с относительной непрозрачностью, окружающей конкурирующие агентские браузерные системы. Компания, кажется, делает ставку на то, что корпоративные пользователи и пользователи, осознающие безопасность, будут ценить прозрачные меры безопасности больше, чем функции первых движений.

Архитектура также предполагает, что Google считает допустимой автономией для AI-агентов. Шопинг, исследования и заполнение форм могут продолжаться под надзором, но все, что касается финансовых счетов, данных здравоохранения или сохраненных учетных данных, требует явного одобрения человека. Это проводит четкую границу, которую другие поставщики были менее готовы публично определить.

Для разработчиков, строящих на платформе Chrome, ограничения наборов происхождения потребуют тщательного рассмотрения того, как агентские функции взаимодействуют с рабочими процессами на нескольких сайтах. Приложения, которые ожидают, что агенты будут свободно перемещаться между доменами, могут потребовать архитектурных изменений для работы в рамках модели безопасности Google.

Google не объявил конкретную дату запуска функций агентского просмотра в Chrome, но подробная безопасностная архитектура предполагает, что развертывание приближается. Готовность компании опубликовать защитную архитектуру до запуска указывает на уверенность в подходе – и неявный вызов конкурентам соответствовать своей прозрачности.

mm

Алекс Макфарленд - журналист и писатель в области искусственного интеллекта, исследующий последние разработки в этой области. Он сотрудничал с многочисленными стартапами и изданиями в области искусственного интеллекта во всем мире.