Googlen gedetailleerd zijn beveiligingsaanpak voor agentische functies in de Chrome-browser, die namens gebruikers acties kan uitvoeren. Het bedrijf heeft in september al een voorproefje gegeven van deze mogelijkheden, en de komende maanden zal een bredere uitrol plaatsvinden. Het bedrijf heeft waarnemersmodellen en toestemmingsmechanismen voor gebruikers geïmplementeerd om deze agentische acties te beheren. Deze strategie richt zich op potentiële beveiligingsrisico’s, waaronder gegevensverlies of financiële implicaties die aan dergelijke functies zijn gekoppeld. Google gebruikt verschillende modellen om de acties van agenten te monitoren. Het heeft een User Alignment Critic ontwikkeld, mogelijk gemaakt door Gemini, die actiepunten evalueert die zijn gegenereerd door een plannermodel voor een specifieke taak. Als het criticusmodel van mening is dat de voorgestelde taken niet in overeenstemming zijn met het doel van de gebruiker, instrueert het het plannermodel om zijn strategie te herzien. Het criticusmodel heeft alleen toegang tot de metadata van de voorgestelde actie, niet tot de daadwerkelijke webinhoud. Om te voorkomen dat agenten toegang krijgen tot ongeautoriseerde of onbetrouwbare websites, maakt Google gebruik van Agent Origin Sets. Deze sets beperken modellen tot aangewezen alleen-lezen en lees-schrijfbare oorsprongen. Dankzij de alleen-lezen oorsprong kan Gemini inhoud consumeren, zoals productvermeldingen op een winkelsite, terwijl irrelevante elementen zoals banneradvertenties worden uitgesloten. Op dezelfde manier kan de agent alleen communiceren met specifieke iframes op een pagina.
Afbeelding: Google“Deze afbakening dwingt af dat alleen gegevens van een beperkte reeks oorsprongen beschikbaar zijn voor de agent, en deze gegevens kunnen alleen worden doorgegeven aan de beschrijfbare oorsprongen”, aldus het bedrijf in een blogpost. “Dit beperkt de bedreigingsvector van cross-origin datalekken. Dit geeft de browser ook de mogelijkheid om een deel van die scheiding af te dwingen, bijvoorbeeld door zelfs geen gegevens naar het model te sturen die buiten de leesbare set vallen.” Google houdt ook de paginanavigatie in de gaten met behulp van een ander waarnemersmodel, dat URL’s nauwkeurig onderzoekt. Dit mechanisme is bedoeld om navigatie naar schadelijke, door modellen gegenereerde URL’s te voorkomen. Voor gevoelige taken heeft Google toestemming van de gebruiker nodig. Wanneer een agent toegang probeert te krijgen tot sites met bank- of medische informatie, wordt de gebruiker eerst om toestemming gevraagd. Voor sites waarvoor inloggen vereist is, vraagt Chrome de gebruiker toestemming om de wachtwoordbeheerder te gebruiken, zodat het agentmodel geen toegang heeft tot wachtwoordgegevens. Het bedrijf zal ook de goedkeuring van de gebruiker vragen vóór acties zoals het doen van een aankoop of het verzenden van een bericht. Bovendien beschikt Google over een prompt-injection-classifier om ongewenste acties te voorkomen en test het voortdurend zijn agentische capaciteiten tegen aanvallen die zijn ontwikkeld door onderzoekers. Andere AI-browserontwikkelaars hebben zich ook geconcentreerd op beveiliging; Perplexity heeft eerder deze maand een nieuw open-source contentdetectiemodel uitgebracht om snelle injectie-aanvallen op agenten tegen te gaan.
