吳明宜Google 幾個月前為 Chrome 加入 Gemini 代理人功能後,本周為它加入防範間接提示注入攻擊的安全功能。
為確保 Chrome 代理人功能不被濫用,Google 加入了多層次防護,讓駭客更難以毒害 Gemini 及使用者。
Google 指出,AI 代理人瀏覽器現在最主要威脅是間接提示注入,可能導致資料外洩,及代理人執行惡意行為。間接提示注入最主要是透過惡意網站、 iFrames 帶入第三方內容,或使用者生成的內容,像是評比等。
為了對抗這些威脅,Google 加入了多層防護。第一道稱為 user alignment critic(使用者對齊評判者)。這功能是可檢視代理人行為,判斷它欲採取的行為是否和使用者明白表達的目標一致,以防範目標劫持和資料外洩。它會檢查代理人行為的 metadata,而不去看未經過濾的網頁內容,以便它被惡意內容下毒。
Google 也將 Chrome 現有的網站隔離和同源政策 (same-origin policy) 安全原則加入代理人來源組 (Agent Origin Sets) 以防範被駭入的代理人繞過控制、執行逾越行為,像是存取不相關來源的內容或執行不該執行的應用程式。
其中,和未受信任的內容隔離的把關功能,可決定和核心任務相關的來源為何,又分成唯讀來源及可讀/寫來源。這可防止 Gemini 模型接觸到跨站資料,且每個代理人想存取的新來源,都會先經過相關性檢驗。
為提供使用者 Chrome 代理人的透明度及控管功能,代理人會建立一個工作紀錄並且在執行關鍵或敏感行為前,都要發出使用者確認的要求。這些行為包括,存取特定敏感網站如銀行或醫療資訊入口網站、由 Google 密碼管理員登入某網站、以及完成購買或支付,以及寄出訊息/郵件前。
Chrome 原本已經有安全上網 (Safe Browsing) 及詐欺偵測功能,現在又為代理人加入網頁檢查,以防範間接提示注入。間接提示注入將會與規模代理人行為的模型推論同時進行,其分類器若判定某些內容可能誘使模型從事和使用者目標不一致的行為,就會阻止它。
Google 還說正利用自動紅隊演練系統生成隔離的惡意網頁來測試這些防護功能,著重使用者生成與廣告內容防護,以及防止造成憑證竊取和非用戶要求的財務交易。未來這些功能可望逐步加入到新版本 Chrome 之中。
來源:SecurityWeek