Google heeft zijn beveiligingsaanpak voor de agentfuncties van Chrome gedetailleerd beschreven, die geautomatiseerde acties mogelijk maken, zoals het boeken van tickets of winkelen, en het aanpakken van potentiële gegevens- en financiële risico’s.
Google gebruikt verschillende modellen om acties van agenten te beheren. Een User Alignment Critic, gebouwd met Gemini, onderzoekt actie-items die door het plannermodel worden gegenereerd. Als het criticusmodel vaststelt dat geplande taken niet aansluiten bij de gebruikersdoelen, wordt de planner ertoe aangezet de strategie opnieuw te evalueren. Het criticusmodel heeft alleen toegang tot metadata van voorgestelde acties, niet tot daadwerkelijke webinhoud.
Om de toegang van agenten tot niet-toegestane of onbetrouwbare sites te beperken, maakt Google gebruik van Agent Origin Sets. Deze sets beperken het model tot specifieke alleen-lezen en lees-schrijfbare oorsprongen. Alleen-lezen oorsprong definieert de inhoud die Gemini kan consumeren; Productvermeldingen op een winkelsite zijn bijvoorbeeld relevant, maar banneradvertenties niet. De agent kan alleen communiceren met aangewezen iframes op een pagina.
In een blogpost verklaarde het bedrijf: “Deze afbakening dwingt af dat alleen gegevens uit een beperkte reeks oorsprongen beschikbaar zijn voor de agent, en deze gegevens kunnen alleen worden doorgegeven aan de beschrijfbare oorsprong. Dit beperkt de bedreigingsvector van cross-origin datalekken. Dit geeft de browser ook de mogelijkheid om een deel van die scheiding af te dwingen, bijvoorbeeld door zelfs geen gegevens naar het model te sturen die buiten de leesbare set vallen.”
Google controleert de paginanavigatie via een ander waarnemersmodel om toegang tot schadelijke, door het model gegenereerde URL’s te voorkomen.
Voor gevoelige taken heeft Google toestemming van de gebruiker nodig. If an agent attempts to access sensitive sites, such as banking or medical platforms, it requests user permission. Als op een site moet worden ingelogd, vraagt Chrome om toestemming van de gebruiker om de wachtwoordbeheerder te gebruiken; het model van de agent heeft geen toegang tot wachtwoordgegevens. Gebruikers worden gevraagd voordat de agent acties onderneemt, zoals een aankoop doen of een bericht verzenden.
Google maakt ook gebruik van een prompt-injection-classifier om ongewenste acties te voorkomen en evalueert de mogelijkheden van agenten tegen aanvallen die zijn ontwikkeld door onderzoekers. Eerder deze maand bracht Perplexity een open-source contentdetectiemodel uit om snelle injectie-aanvallen op agenten tegen te gaan.
