O Google está lançando no navegador Chrome uma nova camada de defesa chamada "User Alignment Critic" para proteger os futuros recursos de agentic browsing alimentados pela inteligência artificial Gemini.
Agentic browsing é uma tecnologia emergente em que um agente de IA executa de forma autônoma tarefas complexas na web para o usuário, como navegar por sites, ler conteúdos, clicar em botões, preencher formulários e seguir sequências de ações.
O User Alignment Critic é um modelo LLM (Large Language Model) independente, isolado de conteúdos não confiáveis, que funciona como um “componente de alta confiança”.
Sua função é avaliar e validar as ações que o agente principal pretende executar, garantindo maior segurança.
A Gemini, assistente de IA do Google capaz de gerar texto, mídia e código, está presente no Android, em diversos serviços da empresa e integrada ao Chrome desde setembro do ano passado.
Naquela ocasião, o Google já havia anunciado planos para incluir funcionalidades de agentic browsing no navegador e agora divulga uma arquitetura de segurança focada nessas capacidades.
Nathan Parker, engenheiro do Google, explicou que o novo sistema reduz o risco de ataques indiretos de prompt injection — nos quais conteúdos maliciosos em páginas manipulam agentes de IA para realizar ações inseguras, como expor dados do usuário ou facilitar fraudes.
Essa arquitetura de segurança combina várias camadas de defesa: regras determinísticas, proteções a nível do modelo, barreiras de isolamento e supervisão do usuário.
Os principais pilares são:
- **User Alignment Critic**: um modelo Gemini secundário e isolado que não pode ser contaminado por prompts maliciosos.
Ele analisa metadados e avalia de forma independente a segurança de cada ação proposta pelo agente principal.
Se a ação for considerada arriscada ou fora do objetivo, o Critic solicita uma nova tentativa ou devolve o controle ao usuário.
- **Origin Sets**: restringe o acesso do agente à web, permitindo interações apenas com sites e elementos específicos.
Origens não relacionadas, como iframes, são bloqueadas, e qualquer novo domínio precisa ser aprovado por uma função de segurança confiável.
Isso evita vazamento de dados entre sites e limita o impacto de agentes comprometidos.
- **Supervisão do usuário**: ao acessar sites sensíveis, como portais bancários, ou ao usar o Password Manager para preencher senhas, o Chrome pausa o processo e exige confirmação manual do usuário.
- **Detecção de prompt injection**: um classificador dedicado no Chrome escaneia páginas para identificar tentativas indiretas de prompt injection.
Esse sistema atua em conjunto com o Safe Browsing e a detecção local de scams, bloqueando ações ou conteúdos suspeitos.
Essa abordagem em camadas demonstra que o Google trata com mais cautela o acesso dos seus LLMs ao navegador, em comparação a outros fornecedores cujos produtos já apresentaram vulnerabilidades a phishing, ataques de prompt injection e compras fraudulentas.
Além disso, o Google desenvolveu sistemas automatizados de red teaming que criam sites de teste e ataques baseados em LLM para avaliar constantemente as defesas e aperfeiçoá-las, implementando correções rapidamente por meio de atualização automática do Chrome.
A empresa destaca que prioriza a mitigação de ataques que possam causar danos duradouros, como transações financeiras indevidas e vazamento de credenciais sensíveis.
Os engenheiros recebem feedback imediato sobre o sucesso das investidas, o que permite respostas ágeis.
Para incentivar pesquisas em segurança, o Google anunciou recompensas de até US$ 20 mil para quem conseguir quebrar o novo sistema, convidando a comunidade a colaborar na construção de uma estrutura robusta para agentic browsing no Chrome.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...