Goolge усиливает защиту ИИ-агентов Gemini в браузере Chrome: Введены новые уровни безопасности

Компания Google внедряет в браузер Chrome новый защитный уровень «User Alignment Critic», который предназначен для защиты будущих функций агентного браузинга на базе Gemini.

Агентный браузинг — это новый режим работы, в котором ИИ-агент способен автономно выполнять за пользователя многошаговые операции в интернете. В такие операции входят переходы по сайтам, чтение их содержимого, нажатие кнопок, заполнение форм и выполнение целой последовательности действий.

User Alignment Critic (UAC) — это отдельная LLM-модель, изолированная от недоверенного контента и работающая как «высокодоверенный системный компонент».

Gemini — это ИИ-ассистент Google, который генерирует текст, медиа-материалы и программный код. Он используется в Android и в различных сервисах компании, а также был интегрирован в браузер Chrome в сентябре. В тот же период Google объявила о планах внедрить в Chrome функции агентного браузинга на базе Gemini. Сейчас компания представляет новую архитектуру безопасности, предназначенную для защиты этих возможностей.

Новая архитектура, анонсированная инженером Google Нейтаном Паркером (Nathan Parker), снижает риски косвенных prompt-инъекций — атак, при которых вредоносный контент страницы заставляет ИИ-агента выполнять опасные действия, ведущие к утечке пользовательских данных или помощи в мошеннических транзакциях.

Паркер уточняет, что новая система безопасности основана на многоуровневом подходе, сочетающем детерминированные правила, защиту на уровне модели, изоляцию контекстов и пользовательский контроль.

Основные элементы новой архитектуры

• User Alignment Critic: Второй, изолированный экземпляр модели Gemini, который невозможно «отравить» вредоносными подсказками. UAC проверяет каждое действие, которое основной ИИ-агент намеревается выполнить, анализируя метаданные и независимо оценивая его безопасность. Если действие признано рискованным или не относящимся к цели пользователя, UAC требует повторной попытки или возвращает управление пользователю.

Логика работы User Alignment Critic в Chrome

• Origin Sets: Этот механизм ограничивает доступ ИИ-агента только выбранными сайтами и элементами страницы. Посторонние источники, включая iframes, блокируются, а новые проходят проверку доверенной функции. Это предотвращает межсайтовые утечки данных и снижает риск ущерба при компрометации агента.

Механизм ограничения контента: Chrome жёстко контролирует, что именно агент видит на странице

• Пользовательский контроль: если агент пытается зайти на чувствительные ресурсы (например, банковские порталы) или выполнить действие, требующее входа через Google Password Manager, Chrome приостанавливает процесс и запрашивает у пользователя ручное подтверждение.

Chrome запрашивает у пользователя ручное подтверждение при попытке выполнить рискованное действие

• Обнаружение промпт-инъекций: в Chrome появляется классификатор, который проверяет страницы на косвенные prompt-инъекции. Он работает вместе с Safe Browsing и локальными системами защиты, блокируя подозрительные действия и вредоносный контент.

Такой многоуровневый подход демонстрирует, что Google относится к доступу LLM-агентов к браузеру значительно осторожнее, чем некоторые другие вендоры. Ранее исследователи показывали, что аналогичные решения у других компаний подвержены фишингу, prompt-инъекциям и даже могут производить покупки в фальшивых магазинах.

Google также разработала автоматизированные системы red-teaming-тестирования, которые создают тестовые сайты и ИИ-атакующие сценарии, непрерывно проверяя защитные механизмы и помогая оперативно выявлять необходимость в новых. Обновления распространяются быстро через автообновления Chrome.

Компания делает приоритетом защиту от атак, способных привести к финансовым потерям или утечке конфиденциальных данных. Инженеры получают оперативную обратную связь о таких попытках и могут быстро выпускать исправления через механизм автообновления.

Чтобы стимулировать независимые исследования в области безопасности, Google объявил о выплатах до 20 000 долларов тем, кто сможет сломать новую систему. Компания призывает исследовательское сообщество подключиться к созданию надежной архитектуры агентного браузинга в Chrome.