Google hat seine Sicherheitsmaßnahmen für die neuen agentenbasierten Funktionen in Chrome detailliert vorgestellt, die es Nutzern ermöglichen sollen, Aufgaben wie Ticketbuchungen oder Einkäufe automatisiert durchführen zu lassen. Diese Funktionen bergen jedoch erhebliche Sicherheitsrisiken, darunter unbefugten Zugriff auf sensible Daten oder finanzielle Schäden. Um dies zu verhindern, setzt Google auf eine Kombination aus Beobachtermodellen, Nutzereinwilligung und strengen Zugriffsbeschränkungen. Bereits im September hatte Google erste Vorabversionen dieser Funktionen vorgestellt, die nun in den kommenden Monaten schrittweise ausgerollt werden sollen. Ein zentrales Element ist das sogenannte „User Alignment Critic“-Modell, das auf Basis von Gemini entwickelt wurde. Es überprüft die von einem Planungsmodell vorgeschlagenen Schritte auf ihre Relevanz für das Nutzerziel. Wenn der Kritiker erkennt, dass die geplante Aktion nicht dem Nutzerinteresse dient, fordert er das Planungsmodell auf, die Strategie zu überarbeiten. Wichtig: Der Kritiker sieht nur Metadaten der geplanten Aktionen, nicht den tatsächlichen Inhalt der Webseiten – dies schützt vor Datenlecks. Um den Zugriff auf potenziell gefährliche oder unzuverlässige Websites zu begrenzen, führt Google „Agent Origin Sets“ ein. Diese definieren, welche Webquellen der Agent lesen (read-only) oder bearbeiten (read-write) darf. Beispielsweise darf er Produktlisten auf Einkaufsseiten nutzen, aber keine Werbebanner. Auch das Interagieren mit bestimmten Iframes ist eingeschränkt. Diese Struktur begrenzt die Gefahr von Cross-Origin-Datenlecks und ermöglicht es dem Browser, Daten außerhalb des zugelassenen Bereichs gar nicht erst an das Modell weiterzuleiten. Ein weiterer Schutzmechanismus ist ein zusätzlicher Beobachtermodell, das URLs analysiert, bevor der Agent eine Seite aufruft. Dies soll verhindern, dass der Agent auf schädliche, vom Modell generierte Links navigiert. Bei besonders sensiblen Aufgaben – wie dem Zugriff auf Bankdaten oder medizinische Informationen – fragt Chrome explizit die Zustimmung des Nutzers ab. Bei Anmeldeseiten wird die Nutzung des Passwort-Managers nur mit expliziter Genehmigung erlaubt. Das Modell selbst hat keinen Zugriff auf Passwörter. Zusätzlich verfügt Chrome über einen Prompt-Injection-Classifier, der versucht, manipulative Eingaben zu erkennen, die zu unerwünschten Aktionen führen könnten. Google testet die agentenbasierten Funktionen auch gegen Angriffe, die von Sicherheitsforschern entwickelt wurden, um die Robustheit zu gewährleisten. Industrieexperten begrüßen die Maßnahmen als wegweisend für die Sicherheit agenter Browser-Funktionen. Analysten betonen, dass Google mit seinem Ansatz einer mehrschichtigen Sicherheitsarchitektur einen Standard setzen könnte. Die Integration von Beobachtermodellen und Nutzereinwilligung zeigt, dass die Entwicklung von agentenbasierten Funktionen nicht nur technologisch, sondern auch ethisch und sicherheitsrelevante Prioritäten erfordert. Perplexity, ein Wettbewerber im Bereich KI-Browser, reagiert mit einer eigenen Open-Source-Modell für Inhaltserkennung, um Prompt-Injection-Angriffe abzuwehren. Die Branche steht vor einer neuen Ära, in der Sicherheit und Benutzerkontrolle zentral bleiben müssen.