Chrome全新Agentic安全特性解析：模型观察与双重授权机制

AI浏览器的安全问题正引发行业广泛关注。本月初，Perplexity也发布了一款新的开源内容检测模型，专门用于防范针对代理的提示注入攻击。

如今，越来越多的浏览器开始尝试推出代理功能，这些AI助手能够帮你预订机票、比较商品价格，甚至完成各种在线操作。但便利的背后，也潜藏着不容忽视的安全风险——数据泄露、资金损失，都可能成为现实威胁。

12月8日，谷歌详细公布了Chrome浏览器代理功能的安全防护措施。这家搜索巨头采用了观察模型和用户授权双重机制，来确保AI代理在帮你做事的同时，不会越界或造成损失。谷歌在今年9月就预告了Chrome的代理能力，并表示这些功能将在未来几个月内正式推出。

AI审查员：让代理行为更安全

谷歌构建了一个名为“用户对齐评论模型”（User Alignment Critic）的安全机制，它基于Gemini大模型来审查代理的行为计划。

当规划模型为某个任务制定行动计划时，这个评论模型会仔细检查这些计划是否真的符合用户的目标。

如果评论模型认为计划的任务偏离了用户意图，它会要求规划模型重新思考策略。更重要的是，这个评论模型只能看到计划操作的元数据，而无法访问实际的网页内容，这进一步降低了数据泄露的风险。

源站限制：划定代理的活动范围

为了防止代理访问不被允许或不可信的网站，谷歌引入了“代理源站集合”（Agent Origin Sets）机制。这个机制将源站分为两类：只读源站和可读写源站。

图片

只读源站是Gemini被允许读取内容的站点。比如在购物网站上，商品列表与任务相关，但横幅广告就不在允许范围内。同样，代理只能在页面的特定iframe框架内进行点击或输入操作。

“这种划分确保了代理只能访问有限源站的数据，而且这些数据只能传递给可写源站。这限制了跨源数据泄露的威胁向量，同时也让浏览器能够强制执行这种分离，比如甚至不会将可读集合之外的数据发送给模型。”谷歌在博客文章中这样解释。

此外，谷歌还通过另一个观察模型来检查页面导航的URL，防止代理导航到有害的模型生成URL。

敏感操作：用户说了算

对于敏感任务，谷歌将控制权完全交给了用户。

当代理试图导航到包含银行信息或医疗数据等敏感信息的网页时，系统会首先询问用户。对于需要登录的网站，Chrome会请求用户授权使用密码管理器，但代理模型本身无法接触到密码数据。

更重要的是，在进行购买、发送消息等关键操作之前，代理都会先征求用户同意。这意味着，即便AI帮你找到了心仪的商品，最终是否下单，决定权依然在你手中。

图片

除了这些机制，谷歌还部署了提示注入分类器来防止不必要的行为，并正在测试代理功能对抗研究人员创建的攻击场景。

行业趋势：安全成AI浏览器焦点

AI浏览器的安全问题正成为行业关注的焦点。本月初，Perplexity也发布了一款新的开源内容检测模型，专门用于防范针对代理的提示注入攻击。

随着AI代理功能逐渐成为浏览器的标配，如何在便利性和安全性之间找到平衡，将是所有厂商必须面对的挑战。

谷歌这次公布的安全措施，为行业提供了一个参考框架，但真正的考验还在后面——当这些功能真正面向用户时，能否经受住实际使用中的各种安全威胁。