Google розкрила деталі захисту своїх AI-агентів у Chrome: моделі-критики та контроль користувача
- Google детально описала систему безпеки для майбутніх автономних AI-агентів у браузері Chrome.
- Для контролю дій ШІ використовуватиметься спеціальна модель-наглядач User Alignment Critic.
- Компанія запроваджує суворі обмеження доступу до сайтів (Agent Origin Sets), щоб запобігти витоку даних.
- Критичні дії, такі як покупки, відправка повідомлень чи вхід у банківські акаунти, вимагатимуть обов’язкового підтвердження користувачем.
Оскільки браузери все частіше експериментують з агентними функціями, здатними самостійно бронювати квитки чи купувати товари, питання безпеки стає критичним. Google оприлюднила свій підхід до захисту користувачів Chrome від ризиків, пов’язаних з автономністю штучного інтелекту, зробивши ставку на моделі-спостерігачі та суворий контроль доступу.
Для перевірки дій агента Google впроваджує спеціальну модель User Alignment Critic на базі Gemini. Цей “цифровий критик” аналізує план дій, складений основною моделлю, і якщо виявляє, що заплановані кроки не відповідають цілям користувача, змушує агента переглянути стратегію.
Важливо, що модель-критик бачить лише метадані запропонованих дій, а не фактичний вебконтент, що забезпечує додаткову приватність.
Щоб запобігти доступу агентів до небезпечних або небажаних ресурсів, компанія використовує механізм Agent Origin Sets. Ця технологія чітко розмежовує джерела даних на ті, що доступні лише для читання, і ті, де дозволено запис.
Наприклад, на торговому майданчику агент зможе “бачити” опис товару, але ігноруватиме рекламні банери. Це обмежує вектори атак і гарантує, що дані з одного сайту не будуть передані на інший без дозволу. Додаткова модель-спостерігач перевірятиме URL-адреси, щоб не допустити переходу на шкідливі сторінки, згенеровані моделлю.
Найважливішим запобіжником залишається контроль з боку людини. Для виконання чутливих завдань, таких як вхід на сайти з медичними чи банківськими даними, агент спочатку запитуватиме дозвіл користувача. Це стосується і використання менеджера паролів — сам ШІ не матиме доступу до паролів, а лише ініціюватиме запит на автозаповнення.
Так само Google вимагатиме прямого підтвердження перед тим, як агент здійснить покупку або надішле повідомлення. Окрім цього, в систему вбудовано класифікатор для захисту від “ін’єкцій промптів”, щоб зловмисники не могли маніпулювати поведінкою агента.
