Google近日披露了在 Chrome 浏览器中部署“代理式”(Agentic)功能前,将如何通过多重技术手段为用户建立安全护栏,以应对自动代办购票、网购等新能力背后潜在的数据与资金风险。在 9 月预览过相关功能后,Google表示,这些基于 Gemini 模型的代理式浏览能力将在未来数月内向用户逐步开放。
Google表示,其在 Chrome 中引入了多种“观察者模型”,对代理执行的操作进行实时审查与约束,其中一项核心机制是利用 Gemini 构建“用户对齐审查器”(User Alignment Critic),专门检查规划模型为某项任务生成的行动序列是否真正符合用户意图。如果审查器认为某些步骤偏离用户目标,它会要求规划模型重新调整策略,而这一过程仅依赖操作元数据而非完整网页内容,以降低隐私暴露面。
在访问来源控制方面,Google引入了“Agent Origin Sets”机制,对代理可读取与可读写的网站来源进行严格划分,避免模型在不可信站点或不相关页面元素上执行操作。例如,在电商网站上,商品列表被视为与任务相关的可读内容,而页面中的横幅广告等则会被排除在可读取范围之外,代理也只能在被允许的特定 iframe 区域内点击或输入,从而减少跨源数据泄露的风险。
Google同时使用另一套观察模型对代理的页面跳转行为进行监控,以拦截由模型生成但可能存在风险的 URL,防止自动化流程误入恶意网站。在处理涉及银行、医疗等敏感信息的网站时,Chrome 会在代理尝试访问前弹窗询问用户是否放行,并在需要使用密码管理器登录时征求用户授权,整个过程中代理模型本身不会直接接触密码数据。
在执行高敏感操作方面,Google强调最终决定权将交由用户,包括在线支付、提交信息或发送消息等关键步骤,代理都必须事先获得明确确认。Google还部署了提示注入(prompt injection)分类器,用于识别并阻断恶意指令,并通过研究人员设计的攻击样本对这些代理功能持续进行安全测试。
除Google之外,其他浏览器厂商同样在强化 AI 代理安全能力。近日,Perplexity 发布了一款新的开源内容检测模型,用于在浏览场景下识别并防御针对代理的提示注入攻击,显示出行业在自动化浏览时代对安全问题的高度敏感与投入。