谷歌详细介绍了Chrome的AI代理安全架构

谷歌发布了一份关于Chrome即将推出的AI代理功能的详细安全框架，介绍了多层防御机制，以保护用户在Gemini驱动的代理执行自主浏览任务时的安全。

来自Chrome安全工程师Nathan Parker的公告概述了四个核心安全支柱，这将规范AI代理如何代表用户与网站交互。该架构解决了早期代理系统面临的风险，包括提示注入攻击、未经授权的数据访问和欺诈交易。

谷歌的方法出现在竞争对手争相推出基于浏览器的AI代理的同时。 OpenAI在十月推出了ChatGPT Atlas，具有代理模式功能，而Perplexity在七月推出了其Comet浏览器。谷歌的安全框架表明了其比竞争对手更谨慎的态度，因为研究人员已经证明了竞争对手的代理功能容易被利用。

代理安全的四大支柱

用户对齐批评者构成了第一道防御线——一个独立的Gemini模型，审查代理提出的每个操作。该批评者在隔离中运行，只检查拟议操作的元数据，而不是完整的页面内容，从而降低了其暴露于恶意输入的风险。如果某个操作似乎存在风险或与用户声明的目标不相关，批评者可以下令重试或将控制权返回给用户。

起源集限制了代理可以访问的网站和页面元素。该系统区分了代理可以消费内容的只读起源和代理可以采取行动的读写起源。无关的网站和iframe完全被拒绝，需要一个可信的网关函数来批准访问新域。这防止了跨站点数据泄漏，并限制了潜在的损害。

用户监督需要手动确认敏感操作。当代理遇到银行门户、医疗数据网站或需要访问Google密码管理器存储的凭据时，Chrome会暂停并提示用户批准该操作。同样，在进行购买或发送消息之前，代理无法自主完成这些操作。

提示注入检测使用一个专用的分类器实时扫描页面，检测间接提示注入尝试。该系统与Chrome现有的安全浏览基础设施和设备上的诈骗检测一起运行，以阻止可疑的恶意内容。

自动红队攻击和漏洞赏金

谷歌开发了自动红队攻击系统，生成测试网站和LLM驱动的攻击，以持续验证安全架构。该公司优先测试可能造成持久性损害的攻击向量，特别是针对金融交易或凭据盗窃的攻击。

Chrome的自动更新机制将快速交付修复，当新的漏洞被发现时。为了鼓励外部安全研究，谷歌宣布将为发现代理浏览框架中的弱点的研究人员提供高达20,000美元的赏金。

这些防御措施反映了早期AI浏览器扩展和聊天机器人集成的经验教训，其中提示注入攻击被证明对操纵AI行为非常有效。通过隔离批评者模型和限制起源访问，谷歌旨在防止网页本身成为攻击面。

AI浏览器竞争的影响

谷歌的详细安全披露与竞争对手的相对不透明形成鲜明对比。该公司似乎正在押注企业和安全意识强的用户会重视透明的安全保障，而不是先发优势。

该架构还表明了谷歌对AI代理的可接受自主性的看法。购物、研究和表单填充可以在监督下进行，但任何涉及金融账户、医疗保健数据或存储的凭据的操作都需要明确的人类批准。这划清了其他供应商不愿公开定义的界限。

对于在Chrome平台上构建的开发人员，起源集限制将需要仔细考虑代理功能如何与多站点工作流交互。预计代理可以自由地在域之间导航的应用程序可能需要进行架构更改，以适应谷歌的安全模型。

谷歌尚未宣布Chrome的代理浏览功能的具体发布日期，但详细的安全框架表明部署即将推出。该公司在发布前公开防御架构的意愿表明了其对方法的信心，并对竞争对手发出了隐含的挑战，要求他们匹配其透明度。