はじめに:AIエージェントブラウジングの進化と新たなセキュリティ課題
Googleは、AIエージェントブラウジング機能を保護するため、Chromeブラウザに「User Alignment Critic」と呼ばれる新たな防御層を導入しました。エージェントブラウジングは、AIエージェントが自律的にウェブ上で多段階のタスクを実行するモードであり、サイトのナビゲート、コンテンツの読み取り、クリック、フォーム入力など一連のアクションを含みます。GeminiはGoogleのAIアシスタントであり、9月以降Chromeに統合されています。Googleは以前からChromeにエージェントブラウジング機能をGemini経由で追加する計画を発表していましたが、今回そのための新しいセキュリティアーキテクチャを発表しました。
GoogleのエンジニアであるNathan Parker氏による発表によると、この新しいセキュリティアーキテクチャは、悪意のあるページコンテンツがAIエージェントを操作し、ユーザーデータ漏洩や詐欺取引につながる安全でないアクションを実行させる間接的なプロンプトインジェクションのリスクを軽減することを目的としています。
「User Alignment Critic」:信頼性の高い独立した番人
新しいセキュリティシステムの中核をなすのが、「User Alignment Critic」です。これは、悪意のあるプロンプトによって「汚染」されることがないよう、信頼できないコンテンツから隔離された独立した第2のGeminiモデルです。このモデルは、プライマリAIエージェントが実行しようとするすべてのアクションを、メタデータを検査し、その安全性を独立して評価することで審査します。アクションが危険である、またはユーザーの目標と無関係であると判断された場合、User Alignment Criticは再試行を指示するか、ユーザーに制御を戻します。
多層防御戦略の詳細
Googleは、確定的ルール、モデルレベルの保護、隔離境界、およびユーザー監視を組み合わせた多層防御アプローチを採用しています。主要な柱は以下の通りです。
- Origin Sets(オリジンセット):エージェントがウェブにアクセスできる範囲を制限し、特定のサイトや要素とのみ対話できるようにします。これには、IFramesなどの無関係なオリジンは完全に除外され、新しいオリジンは信頼できるゲーティング機能によって承認される必要があります。これにより、クロスサイトデータ漏洩を防ぎ、エージェントが侵害された場合の被害範囲を限定します。
- User oversight(ユーザー監視):銀行ポータルなどの機密性の高いサイトをエージェントが訪問する場合や、保存されたパスワードにアクセスするためにPassword Managerのサインインが必要な場合、Chromeはプロセスを一時停止し、ユーザーに手動でのアクション確認を促します。
- Prompt injection detection(プロンプトインジェクション検出):Chrome上の専用分類器が、間接的なプロンプトインジェクションの試みをページ全体でスキャンします。このシステムは、セーフブラウジングやオンデバイスの詐欺検出と連携して機能し、疑わしい悪意のあるアクションや詐欺コンテンツをブロックします。
Googleの継続的な取り組みと報奨金プログラム
Googleのこの多層防御アプローチは、他の類似製品ベンダーと比較して、LLMにブラウザへのアクセスを許可することに対してより慎重であることを示しています。Googleは、フィッシング、プロンプトインジェクション、偽ショップからの購入といった攻撃に対して脆弱であることが研究者によって指摘されていました。
Googleはまた、自動レッドチームシステムを開発しており、テストサイトやLLM駆動型攻撃を生成して防御を継続的にテストし、必要に応じて新しい防御策を開発しています。これらの防御策は、Chromeの自動更新メカニズムを通じて迅速にユーザーに提供されます。
さらに、Googleは、この新しいシステムを破ることに成功したセキュリティ研究者に対して、最大20,000ドルの報奨金を提供することを発表しました。これにより、堅牢なエージェントブラウジングフレームワークをChrome上に構築するためのコミュニティの協力を呼びかけています。