Google 公布 Chrome 智能代理功能的安全防护细节

谷歌 Chrome 浏览器正在引入可以代用户购票、购物的智能代理功能。虽然这很方便，但也带来了数据和资金安全风险。为此，谷歌建立了一套多层防护系统，通过 AI 模型审查任务计划、限制数据访问范围，并要求用户对所有敏感操作进行授权，以确保该功能在提供便利的同时保障用户安全。

多重 AI 模型协同监控

为了确保代理的行为符合用户意图且不产生危害，谷歌部署了多个协同工作的 AI 模型。

• 用户对齐评审模型 (User Alignment Critic): 该模型基于 Gemini 构建，专门负责审查代理为完成任务而制定的行动计划。如果模型认为计划不符合用户的最终目标，它会要求规划模型重新制定策略。
• 页面导航观察者模型: 另一个独立的模型会专门检查代理将要访问的网址。这可以有效防止代理被引向由恶意模型生成的有害网站。

通过这种方式，系统能在代理采取行动之前进行预判和审查，从源头上减少潜在风险。

严格限制数据访问权限

为防止数据泄露，谷歌设计了名为“代理来源集” (Agent Origin Sets) 的机制，严格限制代理可以读取和写入的数据来源。

• 只读来源: 代理只能从经过许可的来源读取内容。例如，在购物网站上，商品列表是代理可以读取的相关数据，但页面上的横幅广告则不被允许读取。
• 可写来源: 代理只能在特定的网页框架内执行点击或输入操作，从而将交互范围限制在最小必要区域。

这种分离机制确保了代理只能访问有限的数据，并只能将这些数据传递给指定的、可写入的目标，从而限制了跨来源数据泄露的威胁。

敏感操作必须用户授权

对于涉及个人隐私和资金安全的关键操作，谷歌将最终决定权交还给用户。

• 访问敏感网站: 当代理尝试访问银行、医疗数据等敏感网站时，必须首先征求用户同意。
• 使用密码: 对于需要登录的网站，代理会请求用户授权 Chrome 使用密码管理器，但代理模型本身无法接触到任何密码数据。
• 执行关键操作: 任何涉及购买商品或发送信息的行为，都必须事先获得用户的明确许可。

此外，谷歌还部署了提示注入攻击分类器，以防止恶意指令绕过安全机制，进一步巩固了整个系统的安全性。