Google heeft onlangs onthuld hoe het meerdere technische middelen zal gebruiken om veiligheidsbeugels voor gebruikers te creëren voordat het de 'Agentic'-functie in de Chrome-browser gaat inzetten om potentiële gegevens- en financiële risico's achter nieuwe mogelijkheden zoals automatische ticketaankoop en online winkelen aan te pakken. Na in september een voorbeeld van gerelateerde functies te hebben bekeken, zei Google dat deze proxy-gebaseerde browsermogelijkheden, gebaseerd op het Gemini-model, de komende maanden geleidelijk aan voor gebruikers zullen worden opengesteld.
Google zei dat het een verscheidenheid aan 'waarnemersmodellen' in Chrome heeft geïntroduceerd om realtime beoordeling en beperkingen uit te voeren op de bewerkingen die door de agent worden uitgevoerd. Een van de kernmechanismen is om met Gemini een "User Alignment Critic" (User Alignment Critic) te bouwen, die specifiek controleert of de actiereeks die door het planningsmodel voor een bepaalde taak wordt gegenereerd, werkelijk voldoet aan de bedoeling van de gebruiker. Als de censor van mening is dat bepaalde stappen afwijken van de doelstellingen van de gebruiker, vraagt hij het planningsmodel om het beleid opnieuw aan te passen, een proces dat alleen afhankelijk is van operationele metadata in plaats van volledige webinhoud om de blootstelling aan privacy te verminderen.
Op het gebied van toegangscontrole heeft Google het 'Agent Origin Sets'-mechanisme geïntroduceerd om de websitebronnen die door de agent kunnen worden gelezen en geschreven strikt te classificeren om te voorkomen dat het model bewerkingen uitvoert op niet-vertrouwde sites of irrelevante pagina-elementen. Op een e-commercewebsite wordt de productlijst bijvoorbeeld beschouwd als leesbare inhoud die verband houdt met de taak, terwijl banneradvertenties op de pagina zijn uitgesloten van het leesbare bereik en agenten alleen kunnen klikken of binnengaan binnen het specifiek toegestane iframe-gebied, waardoor het risico op gegevenslekken tussen bronnen wordt verkleind.
Google gebruikt ook een andere reeks observatiemodellen om het paginaspronggedrag van de proxy te monitoren om URL's te onderscheppen die door het model worden gegenereerd maar riskant kunnen zijn, en om te voorkomen dat geautomatiseerde processen per ongeluk kwaadaardige websites binnendringen. Bij websites met gevoelige informatie, zoals bankzaken en medische zorg, zal Chrome een venster openen waarin de gebruiker om toestemming wordt gevraagd voordat de agent probeert toegang te krijgen, en zal het om gebruikersautorisatie vragen wanneer er een wachtwoordbeheerder moet worden gebruikt om in te loggen. Gedurende het hele proces zal het agentmodel zelf niet rechtstreeks contact opnemen met de wachtwoordgegevens.
Wat het uitvoeren van zeer gevoelige handelingen betreft, benadrukt Google dat de uiteindelijke beslissing aan de gebruiker wordt overgelaten, inclusief belangrijke stappen zoals online betalen, het indienen van informatie of het verzenden van berichten, en dat de agent vooraf een duidelijke bevestiging moet krijgen. Google heeft ook prompt injection-classifiers ingezet om kwaadaardige instructies te identificeren en te blokkeren, en blijft beveiligingstests uitvoeren op deze proxyfuncties via aanvalsvoorbeelden die zijn ontworpen door onderzoekers.
Naast Google versterken ook andere browserfabrikanten de AI-proxy-beveiligingsmogelijkheden. Onlangs heeft Perplexity een nieuw open source contentdetectiemodel uitgebracht om proxy-injectieaanvallen in browserscenario's te identificeren en zich hiertegen te verdedigen, wat de hoge gevoeligheid en investeringen van de industrie in beveiligingsproblemen in het tijdperk van geautomatiseerd browsen aantoont.