Googleは最近、自動チケット購入やオンラインショッピングなどの新機能の背後にある潜在的なデータと財務リスクに対処するためにChromeブラウザに「Agentic」機能を導入する前に、複数の技術的手段を使用してユーザーの安全ガードレールを確立する方法を明らかにした。 Googleは9月に関連機能をプレビューした後、Geminiモデルに基づくこれらのプロキシベースのブラウジング機能を今後数カ月以内に段階的にユーザーに公開すると発表した。
Googleは、エージェントが実行する操作に対するリアルタイムのレビューと制約を行うために、Chromeにさまざまな「オブザーバーモデル」を導入したと述べた。中核的なメカニズムの 1 つは、Gemini を使用して「ユーザー アライメント クリティカル」(User Alignment Critic) を構築することです。これは、特定のタスクの計画モデルによって生成されたアクション シーケンスが本当にユーザーの意図を満たしているかどうかを具体的にチェックします。検閲官が、特定の手順がユーザーの目標から逸脱していると判断した場合、計画モデルにポリシーの再調整を依頼します。このプロセスは、プライバシーの露出を減らすために完全な Web コンテンツではなく運用メタデータのみに依存します。
アクセス ソース制御の観点から、Google は、エージェントが読み書きできる Web サイトのソースを厳密に分類する「エージェント オリジン セット」メカニズムを導入し、信頼されていないサイトや無関係なページ要素に対してモデルが操作を実行するのを防ぎます。たとえば、電子商取引 Web サイトでは、商品リストはタスクに関連する可読コンテンツとみなされますが、ページ上のバナー広告は可読範囲から除外され、エージェントは特定の許可された iframe 領域内でのみクリックまたは入力できるため、クロスソースのデータ漏洩のリスクが軽減されます。
Google はまた、別の一連の観察モデルを使用してプロキシのページ ジャンプ動作を監視し、モデルによって生成される危険性がある URL を傍受し、自動プロセスが誤って悪意のある Web サイトに侵入するのを防ぎます。銀行や医療などの機密情報が含まれる Web サイトを扱う場合、Chrome はエージェントがアクセスしようとする前にウィンドウをポップアップしてユーザーに許可を求め、ログインにパスワード マネージャーを使用する必要がある場合にはユーザーの許可を求めます。プロセス全体を通じて、エージェント モデル自体がパスワード データに直接アクセスすることはありません。
非常に機密性の高い操作の実行に関して、Googleは、オンライン支払い、情報の送信、メッセージの送信などの主要な手順を含む最終的な決定はユーザーに委ねられ、エージェントは事前に明確な確認を取得する必要があると強調しています。 Google はまた、悪意のある命令を特定してブロックするためにプロンプト インジェクション分類器を導入しており、研究者が設計した攻撃サンプルを通じてこれらのプロキシ機能のセキュリティ テストを継続的に実施しています。
Google に加えて、他のブラウザ メーカーも AI プロキシ セキュリティ機能を強化しています。最近、Perplexity は、ブラウジング シナリオにおけるプロキシ インジェクション攻撃を特定して防御するための新しいオープンソース コンテンツ検出モデルをリリースしました。これは、自動ブラウジングの時代における業界のセキュリティ問題に対する高い感度と投資を示しています。