Google hat seinen Sicherheitsansatz für die Agentenfunktionen von Chrome detailliert beschrieben, die automatisierte Aktionen wie das Buchen von Tickets oder das Einkaufen ermöglichen und potenzielle Daten- und Finanzrisiken berücksichtigen. Google verwendet mehrere Modelle, um Agentenaktionen zu verwalten. Ein mit Gemini erstellter Benutzerausrichtungskritiker untersucht die vom Planermodell generierten Aktionselemente. Wenn das Kritikermodell feststellt, dass geplante Aufgaben nicht mit den Zielen des Benutzers übereinstimmen, fordert es den Planer auf, die Strategie neu zu bewerten. Das Kritikermodell greift nur auf Metadaten vorgeschlagener Maßnahmen zu, nicht auf tatsächliche Webinhalte. Um den Agentenzugriff auf unzulässige oder nicht vertrauenswürdige Websites einzuschränken, verwendet Google Agent Origin Sets. Diese Sätze beschränken das Modell auf bestimmte schreibgeschützte und schreibgeschützte Ursprünge. Schreibgeschützte Ursprünge definieren Inhalte, die Zwillinge konsumieren können. Beispielsweise sind Produkteinträge auf einer Shopping-Website relevant, Bannerwerbung jedoch nicht. Der Agent kann nur mit bestimmten Iframes auf einer Seite interagieren. In einem Blog-Beitrag erklärte das Unternehmen: „Diese Abgrenzung erzwingt, dass dem Agenten nur Daten aus einem begrenzten Satz von Ursprüngen zur Verfügung stehen und diese Daten nur an die beschreibbaren Ursprünge weitergegeben werden können. Dies begrenzt den Bedrohungsvektor von Datenlecks über mehrere Ursprünge hinweg. Dies gibt dem Browser auch die Möglichkeit, einen Teil dieser Trennung zu erzwingen, indem er beispielsweise Daten, die außerhalb des lesbaren Satzes liegen, nicht einmal an das Modell sendet.“ Google überwacht die Seitennavigation über ein anderes Beobachtermodell, um den Zugriff auf schädliche, vom Modell generierte URLs zu verhindern. Für sensible Aufgaben benötigt Google die Einwilligung des Nutzers. Wenn ein Agent versucht, auf sensible Websites wie Bank- oder medizinische Plattformen zuzugreifen, fordert er die Erlaubnis des Benutzers an. Sollte für eine Website eine Anmeldung erforderlich sein, fordert Chrome den Benutzer auf, die Erlaubnis zur Verwendung des Passwort-Managers einzuholen. Das Modell des Agenten greift nicht auf Passwortdaten zu. Benutzer werden gefragt, bevor der Agent Aktionen wie einen Kauf oder das Senden einer Nachricht initiiert. Google setzt außerdem einen Prompt-Injection-Klassifikator ein, um unerwünschte Aktionen zu verhindern, und bewertet die von Forschern entwickelten Agentenfähigkeiten gegen Angriffe. Anfang dieses Monats Verwirrung hat ein Open-Source-Inhaltserkennungsmodell veröffentlicht, um Prompt-Injection-Angriffen gegen Agenten entgegenzuwirken.
Source: Google verwendet Gemini "Kritiker" Modell zur Überwachung von Chrome-Agenten
