AI浏览器的安全问题正引发行业广泛关注。本月初,Perplexity也发布了一款新的开源内容检测模型,专门用于防范针对代理的提示注入攻击。
如今,越来越多的浏览器开始尝试推出代理功能,这些AI助手能够帮你预订机票、比较商品价格,甚至完成各种在线操作。但便利的背后,也潜藏着不容忽视的安全风险——数据泄露、资金损失,都可能成为现实威胁。
12月8日,谷歌详细公布了Chrome浏览器代理功能的安全防护措施。这家搜索巨头采用了观察模型和用户授权双重机制,来确保AI代理在帮你做事的同时,不会越界或造成损失。谷歌在今年9月就预告了Chrome的代理能力,并表示这些功能将在未来几个月内正式推出。
AI审查员:让代理行为更安全
谷歌构建了一个名为“用户对齐评论模型”(User Alignment Critic)的安全机制,它基于Gemini大模型来审查代理的行为计划。
当规划模型为某个任务制定行动计划时,这个评论模型会仔细检查这些计划是否真的符合用户的目标。
如果评论模型认为计划的任务偏离了用户意图,它会要求规划模型重新思考策略。更重要的是,这个评论模型只能看到计划操作的元数据,而无法访问实际的网页内容,这进一步降低了数据泄露的风险。
源站限制:划定代理的活动范围
为了防止代理访问不被允许或不可信的网站,谷歌引入了“代理源站集合”(Agent Origin Sets)机制。这个机制将源站分为两类:只读源站和可读写源站。
图片
只读源站是Gemini被允许读取内容的站点。比如在购物网站上,商品列表与任务相关,但横幅广告就不在允许范围内。同样,代理只能在页面的特定iframe框架内进行点击或输入操作。
“这种划分确保了代理只能访问有限源站的数据,而且这些数据只能传递给可写源站。这限制了跨源数据泄露的威胁向量,同时也让浏览器能够强制执行这种分离,比如甚至不会将可读集合之外的数据发送给模型。”谷歌在博客文章中这样解释。
此外,谷歌还通过另一个观察模型来检查页面导航的URL,防止代理导航到有害的模型生成URL。
敏感操作:用户说了算
对于敏感任务,谷歌将控制权完全交给了用户。
当代理试图导航到包含银行信息或医疗数据等敏感信息的网页时,系统会首先询问用户。对于需要登录的网站,Chrome会请求用户授权使用密码管理器,但代理模型本身无法接触到密码数据。
更重要的是,在进行购买、发送消息等关键操作之前,代理都会先征求用户同意。这意味着,即便AI帮你找到了心仪的商品,最终是否下单,决定权依然在你手中。
图片
除了这些机制,谷歌还部署了提示注入分类器来防止不必要的行为,并正在测试代理功能对抗研究人员创建的攻击场景。
行业趋势:安全成AI浏览器焦点
AI浏览器的安全问题正成为行业关注的焦点。本月初,Perplexity也发布了一款新的开源内容检测模型,专门用于防范针对代理的提示注入攻击。
随着AI代理功能逐渐成为浏览器的标配,如何在便利性和安全性之间找到平衡,将是所有厂商必须面对的挑战。
谷歌这次公布的安全措施,为行业提供了一个参考框架,但真正的考验还在后面——当这些功能真正面向用户时,能否经受住实际使用中的各种安全威胁。
