alt=”AI image”>
- Google、新たな防御機能でChromeを間接的なプロンプトインジェクション攻撃から強化
- 主な機能:ユーザーアラインメントクリティックとエージェントオリジンセットにより、より安全なエージェント動作を実現
- エージェントは活動ログを記録し、機密性の高いサイトへアクセスする前に承認を求めるように
Google は、Chromeブラウザに新たな防御機能を追加し、そのエージェント機能が間接的なプロンプトインジェクションによって悪用されないようにしようとしています。
間接的なプロンプトインジェクションとは、AIエージェントがサードパーティのコンテンツ(たとえば受信メールなど)を読み取り、その内容を実行してしまうタイプの攻撃です。
一例としては、メール本文の中に、ブラウザのウォレットプラグインに暗号資産のトランザクションを実行させるプロンプトが書き込まれているケースが挙げられます。テキストは白色でフォントサイズ0に設定されているため被害者には見えませんが、何らかの理由でメールをAIに通すと、エージェントがそのプロンプトに基づいて行動してしまう可能性があります。
ユーザーアラインメントクリティックとエージェントオリジンセット
こうした事態を防ぐため、Googleはユーザーアラインメントクリティックとエージェントオリジンセットを含む、追加のセキュリティレイヤーを導入しました。ユーザーアラインメントクリティックは、信頼できないコンテンツから隔離された環境でエージェントの行動を監視する機能です。
「ユーザーアラインメントクリティックは、プランニングが完了した後に実行され、提案された各アクションを再確認します」とGoogleは説明しています。
「その主な焦点はタスクの整合性であり、提案されたアクションがユーザーの明示した目的に沿っているかどうかを判断します。アクションが目的とずれている場合、アラインメントクリティックはそれを拒否します。このコンポーネントは、提案されたアクションに関するメタデータのみを参照し、フィルタリングされていない信頼できないウェブコンテンツは一切見ないように設計されているため、ウェブから直接“毒される”ことはありません。利用できるコンテキストは少ないものの、行うべき仕事は単純で、アクションを承認するか却下するかを判断するだけです。」
一方、エージェントオリジンセットは、エージェントが現在行っているタスクに関連するオリジン、もしくはユーザーがエージェントと共有することを選択したデータのオリジンからのみデータにアクセスできるようにします。「これにより、侵害されたエージェントが無関係なオリジン上で好き勝手に行動することを防ぎます」とGoogleは付け加えています。「ウェブ上の各タスクについて、プランナーが提案したオリジンのうちどれがタスクに関連しているかを、信頼できるゲーティング関数が判断します。この設計では、それらを2つの集合に分け、各セッションごとに追跡します。」
最後に、エージェントはユーザーが観察できるよう作業ログを作成できるようになり、銀行や医療ポータルなどの機密性の高いサイトへ移動する前には、明示的な承認を求めるようになります。
翻訳元: https://www.techradar.com/pro/security/google-adds-prompt-injection-defenses-to-chrome
