Prima di procedere
Google ha fornito dettagli approfonditi sul suo approccio per garantire la sicurezza degli utenti in Chrome, in vista dell'imminente introduzione delle funzioni 'agente' nel browser, annunciate lo scorso settembre. L'integrazione di funzionalità di intelligenza artificiale capaci di agire per conto dell'utente – ad esempio, prenotare biglietti o effettuare acquisti – offre indubbi vantaggi in termini di comodità, ma comporta anche dei rischi per la sicurezza, che potrebbero tradursi in perdite di dati o finanziarie.
Secondo Google, la principale minaccia per i browser 'agente' proviene da attacchi di 'iniezione indiretta di prompt', mirati a 'forzare l'agente a compiere azioni indesiderate, come avviare transazioni finanziarie o sottrarre dati sensibili'. Questi attacchi possono manifestarsi su siti web dannosi, tramite contenuti di terze parti in iframe o all'interno di contenuti generati dagli utenti, come le recensioni.
Per controllare le azioni degli agenti basati sull'IA, Google ha implementato diverse misure di sicurezza. Innanzitutto, ha sviluppato un modello denominato User Alignment Critic, basato su Gemini, per valutare attentamente ogni azione pianificata dall'agente. Questo modello interviene al termine della fase di pianificazione, per 'ricontrollare ogni azione proposta' e approvarla o respingerla. Se le attività pianificate non soddisfano gli obiettivi dell'utente, il modello richiede all'agente di rivedere la propria strategia. Google sottolinea che il modello User Alignment Critic ha accesso solo ai metadati dell'azione proposta, e non a contenuti web non filtrati o potenzialmente dannosi, il che impedisce infezioni dirette provenienti da Internet.
Per evitare che gli agenti accedano a siti web non autorizzati o non affidabili, Google utilizza gli Agent Origin Sets, che limitano l'accesso del modello a fonti di sola lettura e a fonti accessibili in lettura e scrittura. Nel primo caso, si tratta dei dati da cui Gemini è autorizzato a ricavare contenuti. Ad esempio, le schede prodotto di un negozio online sono adatte allo scopo, mentre i banner pubblicitari non lo sono. Allo stesso modo, l'agente è autorizzato a cliccare o inserire testo solo all'interno di specifici iframe della pagina.
'Questa distinzione garantisce che l'agente abbia accesso solo ai dati provenienti da un insieme limitato di fonti, e che questi dati possano essere trasferiti solo a fonti accessibili in scrittura. Ciò limita il vettore di minaccia rappresentato dalle fughe di dati cross-origin. Inoltre, consente al browser di applicare parte di questa separazione, ad esempio evitando persino di inviare al modello dati che si trovano al di fuori dell'insieme accessibile in lettura', ha spiegato Google in un post sul blog.
Attraverso un ulteriore modello, denominato Observe, l'azienda monitora la navigazione tra le pagine, analizzando gli URL e prevenendo così la visita a URL dannosi generati dal modello stesso.
Al contempo, gli utenti mantengono il controllo del processo: Gemini in Chrome 'descrive in dettaglio ogni fase nel registro di lavoro', offrendo la possibilità di interrompere e riprendere il controllo in qualsiasi momento.
Ad esempio, prima di accedere a un sito web contenente informazioni sensibili, come dati bancari o sanitari, l'agente richiede la conferma dell'utente. Per i siti che richiedono l'accesso tramite login, l'agente chiede all'utente il permesso di utilizzare il gestore password di Chrome (l'agente non ha accesso diretto alle password salvate).
Inoltre, l'agente richiederà la conferma dell'utente prima di compiere azioni come effettuare un acquisto o inviare un messaggio.
Google afferma di aver sviluppato anche un sistema di classificazione dei prompt per prevenire azioni indesiderate, e di star testando le capacità degli agenti di contrastare attacchi appositamente creati dai ricercatori.
