Con Gemini en Chrome y la próxima disponibilidad de capacidades agentes, Google está detallando cómo protegerá el navegador contra las amenazas.
Google dice que “la principal nueva amenaza que enfrentan todos los navegadores agentes es la inyección rápida indirecta”. El objetivo de este ataque es “hacer que el agente realice acciones no deseadas, como iniciar transacciones financieras o extraer datos confidenciales”. Puede “aparecer en sitios maliciosos, contenido de terceros en iframes o contenido generado por usuarios, como reseñas de usuarios”.
Ante este desafío abierto, estamos invirtiendo en una defensa en capas que incluye defensas tanto deterministas como probabilísticas para que a los atacantes les resulte difícil y costoso causar daño.
En primer lugar, hay un modelo separado de “Crítico de alineación del usuario” creado con Gemini que “se ejecuta después de que se completa la planificación para verificar cada acción propuesta” y aprobarla o rechazarla. Si esto último ocurre, el modelo de planificación reformula el plan y los fallos repetidos devuelven el control al usuario.
Su enfoque principal es la alineación de tareas: determinar si la acción propuesta sirve al objetivo declarado del usuario. Si la acción está desalineada, el Crítico de Alineación la vetará. Este componente está diseñado para ver solo metadatos sobre la acción propuesta y no ningún contenido web no confiable sin filtrar, lo que garantiza que no pueda ser envenenado directamente desde la web.
Google también está ampliando las “capacidades de aislamiento de origen de Chrome para limitar con qué orígenes puede interactuar el agente, sólo aquellos que son relevantes para la tarea”.
Anuncio: desplácese para ver más contenido
Para abordar esto, estamos ampliando esos principios con Agent Origin Sets. Nuestro diseño limita arquitectónicamente al agente a acceder solo a datos de orígenes relacionados con la tarea en cuestión, o datos que el usuario ha elegido compartir con el agente. Esto evita que un agente comprometido actúe arbitrariamente en orígenes no relacionados.
Mientras tanto, para mantener a los usuarios en control, Gemini en Chrome “detalla cada paso en un registro de trabajo” con la capacidad de detenerlo y tomar el control en cualquier momento.
Esa transparencia de la acción se combina con comprobaciones deterministas y basadas en modelos que “activan confirmaciones del usuario antes de que el agente realice una acción impactante”.
Estos sirven como barreras contra los errores del modelo y las entradas de adversarios al poner al usuario al tanto en los momentos clave.
Se requiere confirmación del usuario:
…antes de que (el agente) navegue a ciertos sitios sensibles, como aquellos que tratan de transacciones bancarias o información médica personal. Esto se basa en una verificación determinista de una lista de sitios sensibles. …confirmará antes de permitir que Chrome inicie sesión en un sitio a través del Administrador de contraseñas de Google; el modelo no tiene acceso directo a las contraseñas almacenadas. …antes de cualquier acción web sensible, como completar una compra o pago, enviar mensajes u otras acciones consecuentes, el agente intentará hacer una pausa y obtener permiso del usuario antes de continuar o pedirle que complete el siguiente paso.
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
