Google detailliert sein Sicherheitsansatz für Agentenfunktionen in seinem Chrome-Browser, der Aktionen im Namen von Benutzern ausführen kann. Das Unternehmen hat diese Funktionen bereits im September in einer Vorschau vorgestellt, und in den kommenden Monaten wird eine umfassendere Einführung erfolgen. Das Unternehmen hat Beobachtermodelle und Benutzereinwilligungsmechanismen implementiert, um diese Agentenaktionen zu verwalten. Diese Strategie befasst sich mit potenziellen Sicherheitsrisiken, zu denen Datenverluste oder finanzielle Auswirkungen im Zusammenhang mit solchen Funktionen gehören können. Google verwendet mehrere Modelle, um Agentenaktionen zu überwachen. Es hat einen von Gemini unterstützten User Alignment Critic entwickelt, der Aktionselemente bewertet, die von einem Planermodell für eine bestimmte Aufgabe generiert werden. Wenn das Kritikermodell der Meinung ist, dass die vorgeschlagenen Aufgaben nicht mit dem Ziel des Benutzers übereinstimmen, weist es das Planermodell an, seine Strategie zu überarbeiten. Das Kritikermodell greift nur auf die Metadaten der vorgeschlagenen Aktion zu, nicht auf den eigentlichen Webinhalt. Um zu verhindern, dass Agenten auf nicht autorisierte oder nicht vertrauenswürdige Websites zugreifen, verwendet Google Agent Origin Sets. Diese Sätze beschränken Modelle auf bestimmte schreibgeschützte und schreibgeschützte Ursprünge. Nur-Lese-Ursprünge ermöglichen es Gemini, Inhalte wie Produktlisten auf einer Einkaufsseite zu konsumieren, während irrelevante Elemente wie Bannerwerbung ausgeschlossen werden. Ebenso kann der Agent nur mit bestimmten Iframes auf einer Seite interagieren.
Bild: Google„Diese Abgrenzung erzwingt, dass dem Agenten nur Daten aus einem begrenzten Satz von Ursprüngen zur Verfügung stehen und diese Daten nur an die beschreibbaren Ursprünge weitergegeben werden können“, sagte das Unternehmen in einem Blogbeitrag. „Dadurch wird der Bedrohungsvektor von ursprungsübergreifenden Datenlecks begrenzt. Dies gibt dem Browser auch die Möglichkeit, einen Teil dieser Trennung zu erzwingen, indem er beispielsweise nicht einmal Daten an das Modell sendet, die außerhalb des lesbaren Satzes liegen.“ Google überwacht die Seitennavigation auch mithilfe eines anderen Beobachtermodells, das URLs untersucht. Dieser Mechanismus zielt darauf ab, die Navigation zu schädlichen modellgenerierten URLs zu verhindern. Für sensible Aufgaben benötigt Google eine Benutzererlaubnis. Wenn ein Agent versucht, auf Websites zuzugreifen, die Bank- oder medizinische Informationen enthalten, fordert er den Benutzer zunächst zur Einwilligung auf. Bei Websites, die eine Anmeldung erfordern, fordert Chrome die Benutzererlaubnis zur Verwendung des Passwort-Managers an, um sicherzustellen, dass das Agentenmodell nicht auf Passwortdaten zugreift. Das Unternehmen wird außerdem die Zustimmung des Benutzers einholen, bevor es Aktionen wie einen Kauf oder das Versenden einer Nachricht durchführt. Darüber hinaus verfügt Google über einen Prompt-Injection-Klassifikator, um unerwünschte Aktionen zu verhindern, und testet seine Agentenfähigkeiten kontinuierlich gegen von Forschern entwickelte Angriffe. Auch andere KI-Browser-Entwickler haben sich auf die Sicherheit konzentriert; Perplexity hat Anfang des Monats ein neues Open-Source-Inhaltserkennungsmodell veröffentlicht, um Prompt-Injection-Angriffen gegen Agenten entgegenzuwirken.
