L’introduzione di funzionalità basate sull’intelligenza artificiale (AI) agentica nel browser Chrome segna un’evoluzione significativa, trasformando il browser da un mero strumento passivo per la visualizzazione di contenuti a un assistente attivo, capace di eseguire compiti per conto dell’utente. Questa svolta, pur promettendo una maggiore efficienza e personalizzazione, solleva al contempo complesse sfide di sicurezza. Google ha risposto a tali preoccupazioni implementando un’architettura di sicurezza stratificata e completa, concepita per gestire i rischi intrinseci legati all’impiego di agenti AI che interagiscono con contenuti web non fidati.
Una delle minacce principali è rappresentata dall’iniezione indiretta di prompt, un tentativo di manipolare l’agente AI tramite contenuti dannosi incorporati nelle pagine web, spesso senza l’intenzione o la consapevolezza dell’utente. Per contrastare questo rischio, Google ha integrato un rilevatore di iniezione di prompt dedicato. Questo sistema opera come un classificatore che analizza le pagine in tempo reale alla ricerca di tentativi di manipolazione prima che l’agente possa agire in base a input malevoli. Tale meccanismo affianca l’infrastruttura esistente di Navigazione Sicura di Chrome e i sistemi di rilevamento di truffe on-device, creando un robusto scudo preventivo.
Il cuore della nuova architettura difensiva è il User Alignment Critic (Critico di Allineamento con l’Utente). Questo elemento rappresenta un secondo modello AI, distinto e isolato, il cui unico compito è valutare in modo indipendente ogni azione proposta dall’agente principale, dopo che la fase di pianificazione è stata completata. Il Critic opera in modo da non essere esposto ai contenuti web non fidati, limitando la sua vista ai soli metadati dell’azione proposta. Questo isolamento è fondamentale per garantire che non possa essere “avvelenato” da prompt malevoli presenti su una pagina.
Il focus primario del Critic è l’allineamento con l’obiettivo dichiarato dall’utente. Se un’azione viene ritenuta irrilevante o rischiosa rispetto allo scopo dell’utente, il Critic la pone sotto veto. In caso di rifiuto, fornisce un feedback al modello di pianificazione dell’agente, richiedendo una riformulazione del piano d’azione, o, in caso di ripetuti fallimenti, restituisce il controllo all’utente. Questa supervisione costante agisce come una garanzia essenziale contro l’esfiltrazione di dati o il dirottamento degli obiettivi dell’agente per eseguire comandi indesiderati.
Un’altra misura di sicurezza cruciale è l’applicazione degli Agent Origin Sets (Set di Origine dell’Agente). Questo sistema vincola l’agente ad accedere e interagire solo con i dati provenienti da origini specifiche ritenute pertinenti al compito in corso o da fonti che l’utente ha esplicitamente acconsentito a condividere. Le origini non correlate, inclusi gli iframe incorporati, vengono completamente oscurate. Ciò non solo previene la potenziale perdita di dati cross-site, ma limita anche il raggio di danno (il blast radius) nel caso sfortunato in cui l’agente dovesse essere compromesso.
Infine, l’elemento più diretto e tangibile di sicurezza è il controllo esplicito da parte dell’utente per le azioni considerate sensibili. Anche con tutte le difese AI in atto, il sistema richiede sempre la conferma esplicita dell’utente prima di procedere con operazioni ad alto rischio, come l’accesso a siti bancari o medici, l’uso del gestore di password per l’accesso a siti, l’esecuzione di transazioni finanziarie o l’invio di messaggi. Questo approccio garantisce che la sicurezza e il controllo finale rimangano saldamente nelle mani dell’utente, assicurando che l’agente non acceda mai direttamente a dati sensibili, come le password, senza un’autorizzazione manuale.
L’impegno di Google nel pubblicare i dettagli di questa architettura difensiva prima del lancio segnala una ferma fiducia nell’approccio adottato e, implicitamente, lancia una sfida ai competitor affinché eguaglino il suo livello di trasparenza nello sviluppo di funzionalità agentiche per il browsing web.