Google ha dettagliato il suo approccio alla sicurezza per le funzionalità agenti di Chrome, che consentono azioni automatizzate come la prenotazione di biglietti o lo shopping, affrontando potenziali dati e rischi finanziari.
Google utilizza diversi modelli per gestire le azioni degli agenti. Un critico di allineamento utente, creato con Gemini, esamina attentamente le azioni generate dal modello di pianificazione. Se il modello critico determina che le attività pianificate non sono in linea con gli obiettivi dell’utente, spinge il pianificatore a rivalutare la strategia. Il modello critico accede solo ai metadati delle azioni proposte, non ai contenuti web effettivi.
Per limitare l’accesso degli agenti a siti non consentiti o non affidabili, Google utilizza gli Agent Origin Sets. Questi insiemi limitano il modello a origini specifiche di sola lettura e scrivibili. Le origini di sola lettura definiscono il contenuto che Gemini può consumare; ad esempio, le schede di prodotto su un sito di shopping sono pertinenti, ma i banner pubblicitari non lo sono. L’agente può interagire solo con gli iframe designati su una pagina.
In un post sul blog, la società ha dichiarato: “Questa delineazione impone che solo i dati provenienti da un insieme limitato di origini siano disponibili per l’agente e che questi dati possano essere trasmessi solo alle origini scrivibili. Ciò limita il vettore di minaccia delle fughe di dati tra origini. Ciò dà anche al browser la possibilità di imporre parte di tale separazione, ad esempio non inviando nemmeno al modello dati che sono al di fuori dell’insieme leggibile.”
Google monitora la navigazione della pagina tramite un altro modello di osservazione per impedire l’accesso a URL dannosi generati dal modello.
Per le attività sensibili, Google richiede il consenso dell’utente. Se un agente tenta di accedere a siti sensibili, come piattaforme bancarie o mediche, richiede l’autorizzazione dell’utente. Se un sito richiede l’accesso, Chrome richiederà all’utente l’autorizzazione per utilizzare il gestore password; il modello dell’agente non accede ai dati della password. Agli utenti verrà chiesto prima che l’agente avvii azioni come effettuare un acquisto o inviare un messaggio.
Google utilizza inoltre un classificatore di pronta iniezione per prevenire azioni indesiderate e sta valutando le capacità degli agenti contro gli attacchi sviluppati dai ricercatori. All’inizio di questo mese, Perplexity ha rilasciato un modello di rilevamento dei contenuti open source per contrastare gli attacchi di iniezione tempestiva contro gli agenti.
