運行在瀏覽器中的人工智慧代理不再只是打開連結;它們正在成為「代表你做出決定和行動」的實體。
在這種情況下,什麼樣的安全設計才能讓你放心地將密碼和信用卡資訊託付給它?
2025年12月8日,Google的內森·帕克發布了Chrome瀏覽器代理功能中Gemini的安全設計。 Chrome已將間接提示注入識別為一項重大的新威脅,並正在基於Gemini現有的保護功能和代理安全原則建立多層防禦體系。
其核心是一個名為「使用者對齊準則」的獨立模型,該模型負責驗證每個操作的任務對齊性,並在必要時拒絕該操作。此外,代理程式來源集擴展了網站隔離和同源策略,將唯讀來源與可讀寫來源區分開來,從而將代理可以存取和操作的來源限制在與任務相關的來源範圍內。
此外,Chrome 要求使用者在造訪銀行和醫療保健網站等敏感網站、使用 Google 密碼管理器登入、進行付款、傳送訊息等之前進行確認。 Chrome 結合了安全瀏覽和裝置端 AI 來偵測間接提示注入,並透過紅隊演練和漏洞獎勵計畫(最高可達 20,000 美元)不斷驗證其防禦的準確性。
從: 
在 Chrome 中為代理功能建立安全架構
【社論】
Chrome 這次展示的是「如何在基礎架構層面保護瀏覽器駐留 AI 代理」的藍圖。我認為,這並非安全瀏覽功能的擴展,關鍵在於他們正在重構架構,因為 AI 代理會代表用戶點擊、輸入數據,有時甚至會進行支付。
核心使用者一致性評估工具被設計成一個高度可靠的元件,獨立於 Gemini 的規劃系統之外,僅用於判斷某個操作是否真正符合使用者的目標。它只分析元資料而非原始網頁內容,因此不易受到間接提示注入的影響,這使其獨具特色。
代理源集可以被視為傳統邊界(例如同源策略和站點隔離)的重新定義,以適應代理時代。透過按任務將來源劃分為「唯讀」和「讀取/寫入」權限,並阻止存取超出這些邊界的網站或工具,可以有效地限制從已登入標籤頁中提取資訊和意外操作。
在使用者體驗方面,代理程式的操作日誌會詳細視覺化,對於支付、就醫和登入等高風險步驟,系統始終會向使用者傳回確認訊息,而不是完全交給模型。無論模型性能多麼強大,最終的決定權仍然掌握在人手中,這點從系統的判斷中可見一斑。
同時,谷歌本身並不認為這已經是“完美”,並表示將繼續利用LLM及其漏洞獎勵計劃(最高獎勵可達2萬美元)通過自動化紅隊演練來尋找漏洞。這似乎表明,「多層防禦+持續驗證循環」將成為新的標準,即使對於那些自行部署代理程式的瀏覽器和SaaS服務也是如此。
從實際角度來看,對於 innovaTopia 的讀者而言,重要的是,這種架構可以作為他們自身代理設計模式的參考。例如,提供一個獨立於模型本身的操作審查層、為每個任務設計權限範圍、以及在付款和登入前設定使用者確認流程等,這些理念都能提供具體的指導,並可應用於您自己的產品。
從長遠來看,隨著客戶端安全設計的不斷完善,「瀏覽器=個人AI作業系統層」的概念將越來越接近現實。另一方面,隨著人工智慧代理商在金融、醫療保健和身分管理等領域的介入日益深入,就越有可能需要討論新的法規,例如哪些層級應該強制設置安全防護措施以及防護措施的力度。
[術語]
用戶對齊批評家
一個獨立的基於模型的檢查機制,用於確定 Gemini 規劃模型提出的每個行動是否符合使用者的目標,並在必要時拒絕該行動。
間接快速注射
指一種攻擊技術,該技術透過嵌入網頁或使用者生成內容中的文本,無意中改寫代理的指令和行為。
代理人起源集
這是 Chrome 獨有的權限範圍設計,它將代理只能從中讀取的來源與代理可以讀取和寫入的每個任務的來源分開並進行管理。
只讀來源 / 可讀寫來源
Gemini 的這個概念區分了僅允許查看內容的來源和允許執行點擊、輸入等操作的來源,旨在降低跨網域資料外洩的風險。
門控功能
決策元件,用於確定來源或工具是否與任務相關,以及是否將其新增至代理來源集。
位點隔離
瀏覽器安全機制的通用術語,該機制允許 Chrome 將不同的網站分離成進程,使攻擊者更難跨越渲染器邊界攻擊或存取資料。
同源政策
Web 的基本安全策略,限制腳本和其他程式可以存取的數據,使其只能存取相同的協定、主機和連接埠組合。
安全瀏覽
Google 提供的網址和內容評估平台的名稱,用於偵測和警告對釣魚網站、惡意軟體分發網站等的存取。
紅隊演練
一種安全驗證方法,其中攻擊者團隊故意攻擊系統,以識別漏洞和操作缺陷。
漏洞獎勵計劃 (VRP)
這是漏洞賞金計畫的通用術語,該計畫獎勵安全研究人員報告他們發現的漏洞,而對於 Chrome 瀏覽器,最高賞金為 20,000 美元。
[參考連結]
Google Chrome (外部)
這款網頁瀏覽器由Google提供,具有多種安全功能,例如安全瀏覽、網站隔離和 Gemini 整合。
雙子座(外部)
這是一組由GoogleDeepMind開發的大規模多模態模型,也被用作Chrome瀏覽器中的代理功能,稱為Gemini。
Google 安全瀏覽(外部)
它是一種安全基礎設施服務,可偵測惡意網站和危險內容,並支援使用 Chrome 等瀏覽器進行安全瀏覽。
[參考影片]
[參考文章]
提升雙子座的安全保障措施(外部)
一篇技術博客,概述了為提高 AI 安全性所做的努力,包括對 Gemini 模型進行內容過濾、紅隊演練和提示注入反制措施。
緩解即時注入攻擊(外部)
一篇解釋性文章,概述了快速注入和間接快速注入的威脅模型,以及分類器和聚光燈等防禦方法來應對這些威脅。
人工智慧系統代理安全原則(外部)
一份技術報告,總結了人工智慧代理設計中的高級安全原則和最佳實踐,包括權限範圍、可審計性和用戶控制。
[編者註]
在「代表你行事的 AI 代理」嵌入瀏覽器的時代,Chrome 的最新舉措或許提供了一個機會,讓你重新思考應該委託多少權力,以及想要保留多少權力。
如果你要在產品或工作流程中使用人工智慧代理,你會如何以及在何處整合「使用者對齊評論家」和「原點集」之類的機制?下次打開瀏覽器時,不妨停下來問問自己:「把這個標籤頁交給人工智慧處理可以嗎?」 你或許會從中獲得一些新的設計靈感。
