CybersÀkerhet

Google Avslöjar SÀkerhetsarkitektur för Chromes AI-agentfunktioner

mm
Publicerad
Uppdaterad

Google har publicerat en detaljerad säkerhetsram för Chromes kommande agenterade AI-funktioner, som introducerar flera försvarslager designade för att skydda användare när Gemini-aktiverade agenter utför autonoma webbläsaruppgifter.

Meddelandet från Chromes säkerhetsingenjör Nathan Parker avslöjar fyra kärnsäkerhetspelare som kommer att styra hur AI-agenter interagerar med webbplatser på användarnas vägnar. Arkitekturen hanterar risker som har plågat tidiga agenterade system, inklusive promptinjektionsattacker, obehörig dataåtkomst och bedrägliga transaktioner.

Googles tillvägagångssätt kommer när konkurrenter tävlar om att leverera webbläsar-baserade AI-agenter. OpenAI lanserade ChatGPT Atlas i oktober med agentlägefunktioner, medan Perplexity levererade sin Comet-webbläsare i juli. Säkerhetsramen signalerar Googles avsikt att röra sig mer försiktigt än rivaler vars agenterade funktioner forskare redan har visat sig vara sårbara för exploatering.

De Fyra Pelarna för Agent-säkerhet

Användar-alignment-kritik utgör den första försvarsgränsen – en separat Gemini-modell som granskar varje åtgärd den primära AI-agenten föreslår. Denna kritik fungerar i isolering och undersöker endast metadata om föreslagna åtgärder snarare än fullständigt sidinnehåll, vilket minskar dess exponering för skadliga inmatningar. Om en åtgärd verkar riskabel eller irrelevanta för användarens uttalade mål, kan kritikern beordra en omstart eller återlämna kontrollen till användaren.

Ursprungsgrupper begränsar vilka webbplatser och sidkomponenter en agent kan komma åt under en viss uppgift. Systemet skiljer mellan skrivskyddade ursprung där agenten kan konsumera innehåll och skrivbara ursprung där den kan vidta åtgärder. Orelaterade webbplatser och iframes hålls helt tillbaka, med en betrodd grindfunktion som krävs för att godkänna åtkomst till nya domäner. Detta förhindrar cross-site data läckage och begränsar den potentiella skadan från en komprometterad agent.

Användaröversyn kräver manuell bekräftelse för känsliga operationer. När en agent stöter på bankportaler, medicinska datawebbplatser eller behöver komma åt lagrade autentiseringsuppgifter från Google Password Manager, pausar Chrome och ber användaren att godkänna åtgärden. Samma sak gäller innan inköp görs eller meddelanden skickas – agenten kan inte slutföra dessa åtgärder autonomt.

Promptinjektionsdetektering använder en dedikerad klassificerare som skannar sidor i realtid för indirekta promptinjektionsförsök. Detta system fungerar bredvid Chromes befintliga Safe Browsing-infrastruktur och enhetsbaserad bedrägeridetektering för att blockera misstänkt skadligt innehåll innan agenten kan agera på det.

Automatiserad Red-Teaming och Bug Bounties

Google har utvecklat automatiserade red-teaming-system som genererar testwebbplatser och LLM-aktiverade attacker för att kontinuerligt validera säkerhetsarkitekturen. Företaget prioriterar testning av attackvektorer som kan orsaka bestående skada, särskilt de som riktar sig mot finansiella transaktioner eller autentiseringsuppgiftsstöld.

Chromes auto-uppdateringsmekanism kommer att leverera korrigeringar snabbt när nya sårbarheter upptäcks. För att uppmuntra extern säkerhetsforskning meddelade Google belöningar på upp till 20 000 dollar för forskare som identifierar svagheter i den agenterade webbläsar-ramen.

De försvarsåtgärder reflekterar lärdomar från tidiga AI-webbläsar-tillägg och chatbot-integrationer, där promptinjektionsattacker visade sig vara förvånansvärt effektiva för att manipulera AI-beteende. Genom att isolera kritikmodellen och begränsa ursprungsåtkomst på webbläsarnivå syftar Google till att förhindra att webbsidan i sig blir en attackyta.

Implikationer för AI-Webbläsar-Tävlingen

Googles detaljerade säkerhetsavslöjande kontrasterar med den relativa ogenomskinligheten kring konkurrerande agenterade webbläsarsystem. Företaget verkar satsa på att transparenta säkerhetsåtgärder kommer att värderas av företag och säkerhetsmedvetna användare mer än första-rörelsefunktioner.

Arkitekturen antyder också vad Google anser vara acceptabel autonomi för AI-agenter. Shopping, forskning och formulärfyllning kan fortsätta med översyn, men allt som rör finansiella konton, hälsoinformation eller lagrade autentiseringsuppgifter kräver uttrycklig mänsklig godkännande. Detta drar en tydlig gräns som andra leverantörer har varit mindre villiga att definiera offentligt.

För utvecklare som bygger på Chromes plattform kommer ursprungsgränserna att kräva noggrann övervägning av hur agenterade funktioner interagerar med flersidiga arbetsflöden. Applikationer som förväntar sig att agenter fritt kan navigera mellan domäner kan behöva arkitekturförändringar för att fungera inom Googles säkerhetsmodell.

Google har inte meddelat en specifik lanseringsdatum för agenterade webbläsarfunktioner i Chrome, men den detaljerade säkerhetsramen antyder att distributionen närmar sig. Företagets vilja att publicera defensiv arkitektur innan lansering indikerar förtroende för tillvägagångssättet – och en underförstådd utmaning till konkurrenter att matcha dess transparens.

mm

Alex McFarland Àr en AI-journalist och författare som utforskar de senaste utvecklingarna inom artificiell intelligens. Han har samarbetat med mÄnga AI-startups och publikationer över hela vÀrlden.