ChromeへのGemini導入とエージェント機能のプレビューに続き、Googleはブラウザ利用者向けに新たなセキュリティ保護を導入している。
新しいChromeのエージェント機能を安全に利用できるようにするため、同社は多層防御を実装し、攻撃者がユーザーに危害を加えることを困難かつ高コストにしている。
これらの保護は、エージェント型ブラウザに対する主な脅威、すなわち間接プロンプトインジェクションを標的としており、それによりデータ漏えいや、エージェントによる望ましくない動作が引き起こされる可能性がある。
Googleによると、脅威アクターは悪意あるサイト、サードパーティコンテンツを含むiframe、レビューなどのユーザー生成コンテンツを通じて間接プロンプトを送り込むことができるという。
これらの脅威に対抗するため、GoogleはGeminiを用いて構築した新たな独立AIモデル「User Alignment Critic(ユーザーアラインメントクリティック)」を導入している。
信頼できないコンテンツから隔離されたこのモデルの目的は、エージェントの行動を精査し、提案された行動がユーザーの明示した目標と整合しているかどうかに焦点を当てることで、目標の乗っ取りやデータ流出から保護することにある。
「もし行動がユーザーの目標と整合していなければ、Alignment Criticがそれを拒否します。このコンポーネントは、提案された行動に関するメタデータのみを参照し、フィルタリングされていない信頼できないウェブコンテンツは一切見ないように設計されているため、ウェブから直接“毒を盛られる”ことはありません」とGoogleは説明している。
同社はまた、Chromeにおける既存のSite Isolation(サイト分離)および同一オリジンポリシーの保護を「Agent Origin Sets」で拡張し、侵害されたエージェントがこれらの制御を回避しうるシナリオに対処している。
「我々の設計では、エージェントがアクセスできるデータを、そのタスクに関連するオリジン、もしくはユーザーがエージェントと共有することを選択したデータのオリジンに構造的に制限しています。これにより、侵害されたエージェントが無関係なオリジン上で恣意的に行動することを防ぎます」とGoogleは述べている。
信頼できないコンテンツから隔離されたゲーティング機能が、タスクに関連するオリジンを判定し、Geminiがコンテンツを読み取ることのみ可能な読み取り専用オリジンと、読み取りに加えてエージェントが操作可能な読み書きオリジンに分類する。
これにより、モデルがクロスサイトデータにさらされる範囲が制限され、プランナーが新たなオリジンへナビゲートしようとするたびに、そのオリジンがタスクに関連しているかどうかがナビゲーション開始前にチェックされる。
新しいChromeのエージェント機能に対する透明性とコントロールを提供するため、エージェントは作業ログを作成し、決定論的チェックおよびモデルベースのチェックによって、影響の大きいアクションが実行される前にユーザーの確認を求める。
「これらは、重要なタイミングでユーザーをループに組み込むことで、モデルの誤りと敵対的入力の両方に対するガードレールとして機能します」とGoogleは述べている。
エージェントは、銀行や医療・ヘルスケアポータルなど特定の機微なサイトへのナビゲーション、Google パスワード マネージャーを介したサインイン、購入や支払いの完了、メッセージ送信などの前に、ユーザーに確認を求める。
Chromeのセーフブラウジングおよび詐欺検出機能を補完するため、エージェントは各ページに対して間接プロンプトインジェクションの有無もチェックする。
「このプロンプトインジェクション分類器は、プランニングモデルの推論と並行して動作し、分類器が“ユーザーの目標と整合しない行動をモデルに意図的に行わせようとしている”と判断したコンテンツに基づくアクションが実行されるのを防ぎます」と同社は説明している。
Googleによれば、同社は自動レッドチーミングシステムを用いて、悪意あるサンドボックス化サイトを生成しながらこれらの防御をテストしており、ユーザー生成コンテンツや広告コンテンツからの攻撃、さらには認証情報の漏えいおよび望まれない金融取引につながる攻撃に対する防御を優先しているという。
