Оглавление

По мере того как браузеры начинают выполнять действия от имени пользователей — бронировать билеты, совершать покупки и другие операции — безопасность таких автоматизированных процессов становится критически важной. Google раскрыла детали своей стратегии защиты пользователей при использовании агентских функций в Chrome.

Многоуровневая система безопасности

Компания использует несколько моделей для контроля агентских действий. Ключевым элементом является User Alignment Critic на базе Gemini, который проверяет планы действий, созданные основной моделью-планировщиком. Если критик считает, что запланированные задачи не соответствуют целям пользователя, он просит модель-планировщик пересмотреть стратегию. При этом важно, что критик видит только метаданные предлагаемых действий, а не фактическое содержимое веб-страниц.

Сравнение видимости веб-сайтов в агентской модели Chrome

Контроль доступа к сайтам

Для предотвращения доступа агентов к нежелательным или ненадежным сайтам Google внедряет систему Agent Origin Sets. Эта технология ограничивает модель доступом только к разрешенным источникам:

  • Read-only origins — данные, которые Gemini разрешено потреблять
  • Read-writeable origins — сайты, где разрешены действия

Например, на сайте покупок релевантны списки товаров, но не баннерная реклама. Агент может кликать или вводить текст только в определенных iframe страницы.

Интересно, что Google фактически создает «песочницу» для ИИ-агентов, что напоминает подходы к безопасности в традиционном ПО. Вместо того чтобы давать модели полный доступ к браузеру, они сознательно ограничивают её возможности — разумный консерватизм в эпоху, когда все спешат выпустить «самые умные» функции.

Защита от навигационных угроз

Google также контролирует навигацию по страницам с помощью дополнительной модели-наблюдателя, которая анализирует URL-адресы. Это предотвращает переход на вредоносные URL-адресы, сгенерированные моделью.

Модель агента Chrome запрашивает разрешение пользователя на платеж

Пользовательский контроль для чувствительных операций

Для особо важных задач компания передает контроль пользователям. Когда агент пытается перейти на чувствительный сайт (банковский, медицинский и т.д.), он сначала запрашивает разрешение пользователя. Для сайтов, требующих входа, Chrome запрашивает разрешение на использование менеджера паролей.

Важно отметить, что модель агента не имеет доступа к данным паролей. Пользовательский контроль также требуется для таких действий, как совершение покупок или отправка сообщений.

Дополнительные меры защиты

Помимо перечисленных мер, Google также использует:

  • Классификатор инъекций в промпты для предотвращения нежелательных действий
  • Тестирование агентских возможностей против атак, созданных исследователями

Тенденция к усилению безопасности ИИ-браузеров набирает обороты. Ранее в этом месяце Perplexity выпустила новую модель обнаружения контента с открытым исходным кодом для защиты от атак с инъекцией промптов.

По сообщению TechCrunch, эти функции безопасности появятся в Chrome в ближайшие месяцы вместе с агентскими возможностями, анонсированными в сентябре.