Googleは、Chromeに導入される自律型機能（エージェント機能）のセキュリティ対策を詳細に明らかにした。これらの機能は、ユーザーの指示に基づいて自動的にチケット予約や商品購入を行うが、不正な行動や情報漏洩のリスクも伴うため、慎重な設計が求められている。Googleは、2024年9月にChromeにエージェント機能のプレビュー版を公開し、今後数カ月内で段階的に提供を開始する予定だ。 セキュリティ対策の中心となるのは、複数の「観察モデル（Observer Models）」の活用だ。まず、プランニングモデルが作成したタスクの妥当性を検証する「User Alignment Critic（ユーザー整合性評価モデル）」を、Geminiを基盤に構築。この評価モデルは、タスクがユーザーの意図に合っているかを判断し、不適切と判断した場合、プランニングモデルに戦略の再考を促す。重要な点は、この評価モデルが実際のウェブコンテンツを閲覧せず、メタデータのみを参照するため、プライバシーのリスクを低減できる点だ。 また、エージェントがアクセス可能なサイトを厳密に制限する「Agent Origin Sets」を導入。読み取り専用のオリジン（例：商品リスト）のみを許可し、広告や不要なiframeはアクセス不可とする。これにより、外部からのデータ漏洩リスクを最小限に抑える。さらに、ページ遷移の安全性を確保するため、URLの安全性を別モデルで検証。悪意のあるモデル生成URLへの遷移を防止する。 特に重要なのは、ユーザーの同意を必須とする設計だ。銀行や医療情報などの機微なサイトへのアクセスや、購入・メッセージ送信といった行動には、事前にユーザーの承認を求める。パスワード管理機能の利用時も、ユーザーに許可を求める仕組みで、エージェントモデル自体はパスワードデータにアクセスしない。 さらに、プロンプトインジェクション攻撃への対策として、専用の分類モデルを導入。また、研究者による攻撃シナリオを用いたテストも実施している。他社でも同様の取り組みが進んでおり、Perplexityは先月、エージェントのプロンプトインジェクションを検出するオープンソースモデルを公開した。 Googleは、AIの利便性とセキュリティの両立を実現するため、技術的制御とユーザー主導の同意の両輪を重視している。