谷歌近日详细介绍了其在Chrome浏览器中引入“代理型功能”（agentic features）时所采取的一系列安全措施。这些功能可自动代用户完成订票、购物等操作，但随之而来的安全风险也引发关注，如数据泄露或资金损失。为应对挑战，谷歌采用多层防护机制，确保用户安全。 首先，谷歌引入“观察者模型”（observer models）对代理行为进行监督。其中，基于Gemini构建的“用户对齐批评模型”（User Alignment Critic）会审查“规划模型”制定的任务方案。若该模型判断任务无法有效达成用户目标，便会要求重新规划。值得注意的是，批评模型仅能查看任务的元数据，无法获取网页实际内容，从而避免信息泄露。 其次，谷歌通过“代理来源集”（Agent Origin Sets）控制代理可访问的网页范围。该机制将可访问内容划分为“只读来源”和“可读写来源”。例如，在购物网站中，商品列表属于可读内容，而广告横幅则被排除。代理仅被允许在特定iframe中进行点击或输入操作，有效限制了跨域数据泄露的风险。浏览器还可主动过滤未在授权范围内的数据，不向模型传递。 在页面跳转方面，谷歌使用另一观察模型对目标URL进行安全检测，防止代理导航至由AI生成的恶意链接。 对于涉及敏感信息的操作，如银行、医疗类网站，Chrome会主动向用户请求确认。若需登录，系统将请求用户授权使用密码管理器，但代理模型本身无法访问密码数据。所有购买、发送消息等关键操作前，均需用户明确同意。 此外，谷歌还部署了“提示注入检测器”（prompt-injection classifier），防范恶意指令诱导代理执行非预期行为，并正在模拟研究人员发起的攻击进行测试。与此同时，其他AI浏览器厂商也加强安全防护，例如Perplexity近期发布了开源内容检测模型，用于抵御提示注入攻击。