З появою Gemini у Chrome та майбутніми агентними можливостями Google компанія детально описала, як браузер забезпечуватиме захист користувачів від можливих загроз.
Нові виклики для браузерів з ШІ
Як зазначає компанія, “основна нова загроза для агентних браузерів – це непряме впровадження команд” (indirect prompt injection). Мета такого атаки полягає в тому, щоб “змусити агента виконати небажані дії, наприклад, провести фінансові транзакції чи викрасти конфіденційну інформацію”.
Ці атаки можуть виникати на шкідливих сайтах, у сторонньому контенті, розташованому всередині iframe, або через користувацький контент, як-от відгуки.
Щоб протистояти цим загрозам, Google вкладає кошти в багатошарову систему захисту, яка включає як детерміновані, так і ймовірнісні механізми, що ускладнюють атаки і роблять їх дорогими для зловмисників.
Механізм захисту
Першим рівнем захисту є окрема модель “User Alignment Critic”, розроблена за допомогою Gemini. Вона “активується після етапу планування і перевіряє кожну пропоновану дію”, затверджуючи чи відхиляючи її. Якщо дія відхилена, модель планування формулює новий план, а в разі повторних невдач управлiння відновлюється до користувача.
Основне завдання “Alignment Critic” – перевірити, чи відповідає дія заявленій меті користувача. Якщо дія не відповідає меті, модель блокує її. При цьому компонент отримує лише метадані про пропоновану дію та не має прямого доступу до ненадійного веб-контенту, що запобігає “отруєнню” моделі через інтернет.
Як Gemini підвищує безпеку та захист браузера Chrome (фото: 9to5Google)
Обмеження доступу до джерел даних
Google також покращує функціональність Chrome, впроваджуючи “ізоляцію джерел”, що обмежує агента лише до релевантних джерел даних. Для цього вводяться набори джерел агента, які дозволяють працювати тільки з даними, пов’язаними з поточним завданням або з інформацією, на розкриття якої погодився користувач.
Це попереджає можливість зловмисника змусити агента діяти на сторонніх сайтах.
Прозорість дій та контроль користувача
Gemini в Chrome фіксує “журнал дій” з детальним описом кожного кроку, надаючи користувачу можливість зупиняти агента і брати управління в будь-який момент.
Кожна важлива дія агента супроводжується перевірками та запитами на підтвердження від користувача. Це служить захистом як від помилок моделі, так і від шкідливого вводу:
Перед переходом на чутливі сайти, наприклад, банківські платформи або ресурси медичної інформації, перевірка виконується на основі затвердженого списку чутливих сайтів.
Перед входом на сайти через Google Password Manager – модель не має прямого доступу до збережених паролів.
Перед виконанням будь-яких важливих дій, таких як покупки, платежі, надсилання повідомлень або інші значущі операції, агент призупиняє процес і запитує дозволу користувача або пропонує завершити наступний крок самостійно.
