隨著瀏覽器開始實驗代理功能,這些功能能代表使用者執行預訂門票或購物等行動,但也伴隨資料或金錢損失的安全風險。Google 在 Chrome 中詳細介紹了其利用觀察模型與使用者同意機制來處理安全的方法,並預告這些代理功能將於九月預覽,未來幾個月內逐步推出。Google 使用多個模型來監控代理行動,其中建立了一個使用 Gemini 構建的使用者對齊評論員(User Alignment Critic),該模型會審查規劃模型為特定任務構建的行動專案。若評論員認為規劃任務未達成使用者目標,會要求規劃模型重新思考策略。值得注意的是,評論員模型僅能檢視建議行動的後設資料,無法接觸實際網頁內容。
為了防止代理訪問被禁止或不可信的網站,Google 採用代理源集(Agent Origin Sets)機制,限制模型僅能訪問只讀源和可寫源。只讀源允許 Gemini 消耗內容,例如購物網站中與任務相關的清單,但不包括廣告。代理僅被允許點選或輸入頁面中的特定 iframe。這種區分確保僅有限源集的資料可供代理使用,且僅能傳遞至可寫源,從而限制跨源資料洩漏的威脅向量,並讓瀏覽器有能力阻止將不可讀資料傳送給模型。此外,Google 透過另一觀察模型調查 URL 以監控頁面導航,防止導航至有害的模型生成網址。
對於涉及銀行或醫療資料等敏感任務,Google 將決策權交還使用者。當代理嘗試導航至敏感網站時,會先詢問使用者;對於需要登入的網站,則詢問使用者是否允許 Chrome 使用密碼管理員。Google 強調代理模型不會接觸密碼資料,且在進行購買或傳送訊息等行動前也會先詢問使用者。除了上述措施,Google 還部署了提示注入分類器以阻止不當行動,並測試代理功能對抗研究人員建立的攻擊。其他 AI 瀏覽器廠商也關注安全問題,Perplexity 於本月早些時候發布了新的開源內容檢測模型,用於防止針對代理的提示注入攻擊。