谷歌正式发布 Chrome 浏览器即将推出的代理式 AI(Agentic AI)功能安全框架,通过多层防御体系,为基于 Gemini 模型的 AI 智能体执行自主浏览任务(如自动购票、网购等)提供安全保障。该架构由 Chrome 安全工程师内森・帕克(Nathan Parker)提出,核心围绕四大安全支柱展开,针对性解决早期代理式 AI 系统普遍面临的提示注入攻击、未授权数据访问、欺诈交易等风险。
当前,浏览器 AI 智能体领域竞争激烈:OpenAI 已于 10 月推出具备代理模式功能的 ChatGPT Atlas,Perplexity 也在 7 月发布 Comet 浏览器,但这些竞品的代理功能已被研究人员证实存在安全漏洞。相比之下,谷歌的安全框架体现出更谨慎的策略,通过透明化的防护设计,旨在吸引企业及重视安全的用户,同时为行业树立 AI 浏览器安全标准。
一、四大核心安全支柱:构建全链路防护体系
1. 用户对齐审查器(User Alignment Critic):第一层风险拦截
作为首要防御层,谷歌基于 Gemini 单独构建 “用户对齐审查器”,对主 AI 智能体提出的每一项操作进行独立验证。该审查器仅分析操作元数据(如操作类型、目标域名),不接触完整网页内容,最大限度降低恶意输入的影响。若检测到操作存在风险(如偏离用户明确目标、涉及未授权领域),审查器可要求智能体重试操作,或将控制权交还给用户。例如,当用户指令 AI “购买某品牌运动鞋”,若智能体试图访问无关的金融网站,审查器会立即拦截并提示调整策略,避免无关操作带来的安全隐患。
结合补充信息,这一机制本质是 “观察者模型” 的核心应用 —— 通过独立于主智能体的审查模块,确保操作始终对齐用户意图。且审查器仅依赖元数据的设计,进一步缩小隐私暴露范围,避免网页敏感内容被额外处理。
2. 来源集(Origin Sets):严格限制访问边界
为防止跨网站数据泄露,谷歌引入 “来源集” 机制,明确划分 AI 智能体在任务执行中可访问的网站及页面元素:
- 读写权限区分:将网站分为 “只读来源”(仅允许智能体获取内容,如商品信息页面)与 “可读写来源”(允许智能体执行操作,如电商平台的购物车提交);
- 无关内容屏蔽:完全屏蔽与任务无关的网站及内嵌框架(iframe),若需访问新域名,必须通过可信网关功能审批。
例如,在 AI 协助完成网购任务时,仅允许其访问目标电商网站的商品详情、购物车等相关模块,页面中的广告弹窗、第三方跳转链接等均被屏蔽,即便智能体被攻击,也能限制损害范围。补充信息显示,谷歌还通过该机制细化页面元素权限,如电商场景中仅允许智能体在特定 iframe 区域操作,进一步降低跨源风险。
3. 用户监督(User Oversight):敏感操作需人工确认
针对高风险场景,谷歌强制要求 AI 智能体获取用户手动授权后才能执行操作,具体覆盖三类核心场景:
- 敏感网站访问:当智能体试图进入银行门户、医疗数据平台等领域时,Chrome 会暂停操作并弹窗征求用户同意;
- 凭证调用:若需从谷歌密码管理器提取存储的账号密码,必须经用户确认,智能体无法直接获取;
- 关键行为执行:在线支付、发送消息等可能涉及资金或信息安全的操作,均需用户明确批准后才能完成。
这一设计确保用户对核心权益相关操作拥有最终决定权,避免智能体自主执行高风险行为。补充信息提到,谷歌在处理密码等敏感数据时,会彻底隔离智能体与数据的直接接触,进一步保障信息安全。
4. 提示注入检测(Prompt Injection Detection):实时拦截恶意指令
谷歌部署专门的分类器,实时扫描网页内容,识别间接提示注入攻击(如通过网页文字诱导智能体执行恶意操作)。该系统与 Chrome 现有安全浏览(Safe Browsing)基础设施、设备端诈骗检测功能协同工作,在智能体响应前阻断可疑恶意内容。例如,若网页中隐藏诱导智能体泄露用户信息的文字,分类器会及时识别并屏蔽,防止智能体被操控。
二、持续验证与外部协作:强化安全韧性
1. 自动化红队测试(Automated Red-Teaming)
谷歌开发自动化红队系统,通过生成测试网站与基于大语言模型的攻击手段,持续验证安全架构有效性。测试重点聚焦可能造成长期损害的攻击路径,尤其是针对金融交易、凭证窃取的场景,确保架构能应对各类新型威胁。同时,依托 Chrome 的自动更新机制,一旦发现新漏洞,可快速推送修复补丁,避免风险扩散。
2. 漏洞赏金计划(Bug Bounties)
为鼓励外部安全研究,谷歌宣布针对 Chrome 代理式浏览框架的漏洞,提供最高 2 万美元的赏金奖励,吸引全球研究人员参与安全测试,通过外部视角发现潜在风险,进一步完善防护体系。
三、对 AI 浏览器竞争与开发者的影响
1. 差异化竞争:以安全透明吸引目标用户
谷歌此次详细披露安全架构,与竞品的 “黑箱式” 设计形成鲜明对比。其战略核心在于通过透明的防护措施,吸引对安全敏感的企业用户及个人用户 —— 相比 “先发功能优势”,谷歌更看重 “安全可信度”,明确划分 AI 智能体的自主权限边界(如购物、表单填写可在监督下进行,金融、医疗相关操作必须人工确认),这一清晰标准也为行业提供了参考。
2. 开发者适配挑战
对基于 Chrome 平台开发的开发者而言,“来源集” 等限制要求重新设计跨网站工作流:若应用依赖 AI 智能体自由跨域导航,需调整架构以适配谷歌的安全模型,确保操作符合访问边界规则,避免功能失效。
目前,谷歌尚未公布 Chrome 代理式 AI 功能的具体上线时间,但详细安全框架的发布,表明部署已进入倒计时。其主动公开防护架构的举动,既体现对自身安全设计的信心,也暗含对竞品提升透明度的隐性挑战,或将推动 AI 浏览器领域形成 “安全优先” 的竞争趋势。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/gu-ge-xiang-jie-chrome-liu-lan-qi-ai-zhi-neng-ti-gong-neng
