谷歌近日公布了在 chrome 浏览器中上线“代理式”(agentic)功能前,将采用多重技术策略为用户构建安全防护体系,以应对自动代购、订票等新型智能操作可能引发的数据泄露与资金安全隐患。继今年9月对外展示相关能力后,谷歌确认,这些依托 gemini 模型实现的代理式浏览功能,将在接下来的几个月内分阶段向广大用户开放。
据悉,Chrome 引入了多层“观察者模型”,对代理行为进行实时监督与干预。其中一项关键技术是基于 Gemini 打造的“用户意图对齐审查器”(User Alignment Critic),该模块专门评估任务规划模型所生成的操作序列是否真实贴合用户原始指令。一旦发现某一步骤存在意图偏移,审查器即刻触发重规划流程;整个判断过程仅依赖操作层面的元数据(如点击位置、表单字段类型等),不读取网页全文内容,从而显著压缩隐私信息暴露面。
在访问权限管控方面,谷歌启用了“Agent Origin Sets”机制,精细化区分代理可读、可写的目标网站来源,防止其在不可信站点或无关页面区域执行动作。例如,在电商平台中,商品目录页被定义为任务相关可读域,而页眉广告、侧边推荐栏等内容则被明确排除在可读范围之外;同时,代理仅被授权在预设许可的 iframe 区域内完成点击或文本输入操作,有效遏制跨源信息窃取风险。
此外,Chrome 还部署了另一套独立的观察模型,用于动态监测代理发起的页面跳转行为,及时拦截由模型生成但存在潜在威胁的 URL,避免自动化流程误入钓鱼或恶意网站。当代理尝试访问银行、医保等高敏感类网站时,浏览器会在跳转前主动弹出确认窗口,征得用户明确授权;若需调用密码管理器完成登录,系统亦会再次请求用户手动批准——整个过程中,代理模型本身完全无法触达明文密码。
针对支付确认、信息提交、消息发送等关键操作,谷歌坚持“用户最终拍板”原则:所有高风险动作均须获得用户显式许可后方可执行。同时,平台集成了专用的提示注入(prompt injection)识别分类器,可实时检测并阻断恶意指令注入行为,并持续利用安全研究人员构造的对抗样本开展红蓝对抗测试,不断加固代理系统的鲁棒性。
除谷歌外,其他主流浏览器生态也在加速布局 AI 代理安全能力。近期,Perplexity 开源了一款面向浏览场景的内容感知检测模型,专用于识别和抵御针对 AI 代理的提示注入攻击,反映出整个行业正以前所未有的重视程度,应对自动化交互时代下的新型安全挑战。
源码地址:点击下载
