O Google detalhou sua abordagem para a segurança do usuário no Chrome, em relação aos planos de adicionar em breve recursos baseados em agentes ao navegador, conforme anunciado em setembro.
Fonte da imagem: Google
O uso de agentes baseados em navegador que podem executar ações em nome do usuário, como reservar voos ou fazer compras, oferece certas conveniências, mas também acarreta riscos de segurança que podem levar à perda de dados ou dinheiro.
O Google observou que a principal ameaça emergente representada por atacantes contra navegadores baseados em agentes é a “injeção indireta de sugestões”, que visa “fazer com que o agente execute ações indesejadas, como iniciar transações financeiras ou roubar dados confidenciais”. O ataque pode “surgir em sites maliciosos, em conteúdo de terceiros dentro de um iframe ou em conteúdo gerado pelo usuário, como avaliações”.
Diversos modelos são usados para monitorar as ações de agentes de IA. O Google criou o modelo User Alignment Critic, baseado no Gemini, para validar minuciosamente as ações geradas pelo modelo de planejamento para uma tarefa específica. Ele “é executado após a conclusão do planejamento para revalidar cada ação proposta” e aprová-la ou rejeitá-la. Se as tarefas planejadas não atenderem aos objetivos do usuário, o modelo solicita que o modelo de planejamento reconsidere sua estratégia. O Google observou que o modelo User Alignment Critic visualiza apenas os metadados da ação proposta, e não qualquer conteúdo da web não filtrado e não confiável, garantindo que ele não possa ser contaminado diretamente pela internet.
Para impedir que os agentes acessem sites proibidos ou não confiáveis, o Google usa Conjuntos de Origens de Agentes, que restringem o acesso do modelo a origens somente leitura e leitura/gravação. No primeiro caso,Neste caso, trata-se dos dados dos quais o Gemini tem permissão para extrair conteúdo. Por exemplo, em um site de loja online, os anúncios são elegíveis para a tarefa, enquanto os banners publicitários não. Da mesma forma, o agente só pode clicar ou digitar texto em determinados iframes na página.
“Essa separação garante que o agente tenha acesso apenas a dados de um conjunto limitado de fontes e que esses dados só possam ser compartilhados com fontes graváveis. Isso limita o vetor de ameaça para vazamentos de dados entre fontes. Também permite que o navegador imponha parte dessa separação, por exemplo, nem mesmo enviando os dados do modelo para fora do conjunto legível”, explicou o Google em uma postagem no blog.
Usando outro modelo, o Observe, a empresa também controla a navegação na página analisando URLs, impedindo o acesso a URLs maliciosos gerados pelo modelo.
Os usuários também podem monitorar o processo: o Gemini no Chrome “detalha cada etapa em um registro de trabalho”, com a possibilidade de interromper e retomar o controle a qualquer momento.
Por exemplo, antes de navegar para um site sensível que contenha informações como dados bancários ou médicos, o agente solicita a confirmação do usuário. Para sites que exigem login, o sistema solicita permissão ao usuário para usar o gerenciador de senhas do Chrome (o agente não tem acesso direto às senhas salvas).
O agente também solicitará a confirmação do usuário antes de realizar ações como fazer uma compra ou enviar uma mensagem.
A empresa também afirma possuir um classificador de dicas para evitar…ações indesejadas, além de testar a capacidade dos agentes de combater ataques desenvolvidos por pesquisadores.