Google представила многоуровневую архитектуру безопасности для браузерных ИИ-агентов Chrome, ориентированную на защиту от непрямых prompt injection-атак и мошеннических действий в сети. Новая модель безопасности рассчитана на режим, в котором агент Gemini самостоятельно взаимодействует с вебом: открывает страницы, анализирует содержимое, нажимает кнопки, заполняет формы и выполняет сложные сценарии действий от имени пользователя.
Зачем браузерным ИИ-агентам нужна многоуровневая защита
Основной риск для таких автономных ИИ-агентов связан с так называемыми непрямыми промпт-инжектами (indirect prompt injection). Вредоносный контент на веб-странице может «подсказать» модели выполнить действия, противоречащие интересам пользователя: передать конфиденциальные данные третьей стороне, изменить реквизиты платежа, авторизоваться на поддельном ресурсе или инициировать сомнительные транзакции.
Подобные атаки уже выделяются как отдельный класс угроз в отраслевых документах по безопасности LLM (в частности, в OWASP Top 10 for LLM Applications prompt injection фигурирует как один из ключевых векторов атак). Поэтому появление в браузере автономных ИИ-агентов с доступом к реальному вебу объективно требует более строгих механизмов контроля и изоляции.
Изолированный «критик» Gemini как компонент повышенного доверия
Центральным элементом новой защиты Google стала отдельная изолированная модель Gemini, выполняющая роль «критика» или высокодоверенного системного компонента. Важно, что этот критик не имеет прямого доступа к потенциально вредоносному контенту страниц, а работает с метаданными и описанием предполагаемого действия.
Перед тем как основной ИИ-агент инициирует операцию в браузере, «критик» независимо оценивает ее безопасность и соответствие исходной цели пользователя. Если действие выглядит рискованным или не связано с поставленной задачей, система либо заставляет агента пересмотреть шаг, либо возвращает управление пользователю. Такой подход напоминает архитектуру «двухключевой авторизации», где решение принимается не одной, а несколькими независимыми сущностями.
Origin Sets: ограничение доступа ИИ-агента к веб-ресурсам
Второй уровень обороны реализован через механизм Origin Sets. Он позволяет строго ограничить круг доменов и элементов, с которыми может взаимодействовать ИИ-агент. Контент из сторонних источников, включая iframe, полностью блокируется, пока не будет явно одобрен.
Такое разделение источников снижает риск перекрестных утечек данных между сайтами и минимизирует последствия потенциальной компрометации агента. Если злоумышленнику удастся внедрить вредоносный промпт на одном сайте, он не сможет автоматически использовать его для атаки на другие ресурсы, к которым у агента просто не будет доступа.
Ручное подтверждение чувствительных операций пользователем
Для операций с высоким уровнем риска Google добавила дополнительный, уже «человеческий» уровень контроля. При обращении ИИ-агента к банковским порталам, финансовым сервисам или сохраненным паролям в Password Manager, Chrome ставит выполнение задачи на паузу.
В таких случаях окончательное решение остается за пользователем: только после ручного подтверждения агент может продолжить действия. Этот механизм фактически выполняет роль «kill switch» для сценариев, связанных с деньгами, авторизацией и доступом к особо ценным учетным данным.
Детектор промпт-инжектов и автоматизированный red teaming
Дополняет систему защиты специализированный классификатор непрямых промпт-инжектов, встроенный в Chrome. Он анализирует содержимое страниц на наличие инструкций, пытающихся переопределить поведение ИИ-агента, и работает параллельно с Safe Browsing и локальными антифрод-механизмами.
Для регулярной проверки эффективности защиты Google внедрила автоматизированные системы red teaming’а. Они генерируют тестовые сайты и сценарии атак на LLM, моделируя в том числе ситуации с долгосрочными последствиями: кражей учетных данных, несанкционированными финансовыми операциями, манипуляцией историями действий. Полученные метрики по успешным атакам позволяют инженерам оперативно корректировать защиту и раскатывать обновления Chrome в автоматическом режиме.
Bug bounty до 20 000 долларов и влияние на индустрию
Google запускает отдельную bug bounty-программу, ориентированную именно на обход новой защиты ИИ-агентов. Размер вознаграждения может достигать 20 000 долларов США, что должно стимулировать исследователей безопасности активно тестировать архитектуру и делиться найденными уязвимостями.
Для рынка кибербезопасности ИИ это важный сигнал: крупные вендоры признают риски prompt injection и других специфических атак на LLM не теорией, а практической угрозой. Появление подобной многоуровневой защиты в популярном браузере может задать де-факто стандарт для других разработчиков, внедряющих ИИ-агентов в пользовательские приложения.
Для конечных пользователей и компаний использование ИИ-агентов в браузере требует не только доверия к встроенным механизмам Google, но и базовой цифровой гигиены: своевременных обновлений Chrome, осторожности при работе с финансовыми сервисами, ограничения прав доступа расширений и внимательного отношения к тому, какие задачи делегируются ИИ. Чем активнее будет развиваться экосистема защитных решений и исследований в области безопасности LLM, тем безопаснее станет повседневное использование ИИ в веб-приложениях и корпоративной среде.
