エージェント機能の台頭とセキュリティ課題

現代のブラウザは、チケット予約やオンラインショッピングといったユーザーの行動を代行するエージェント機能の導入が進んでいます。しかし、これらの便利な機能は、データ損失や金銭的被害につながる可能性のあるセキュリティリスクも伴います。

Googleは、Chromeにおけるユーザーセキュリティへのアプローチについて、オブザーバーモデルとユーザーの同意に基づいた戦略を詳細に説明しました。同社は今年9月にエージェント機能のプレビューを開始しており、今後数ヶ月で展開される予定です。

Googleの主要なセキュリティメカニズム

Geminiを活用したユーザーアライメントクリティック

Googleは、Geminiを用いて構築された「ユーザーアライメントクリティック」と呼ばれるモデルを導入しています。これは、プランナーモデルが提案するアクション項目を厳しく精査する役割を担います。クリティックモデルは、もし計画されたタスクがユーザーの目標に沿わないと判断した場合、プランナーモデルに戦略の再考を促します。重要な点として、クリティックモデルが参照するのは提案されたアクションのメタデータのみであり、実際のウェブコンテンツにはアクセスしません。

エージェントオリジンセットによるアクセス制限

エージェントが許可されていないサイトや信頼できないサイトにアクセスするのを防ぐため、Googleは「エージェントオリジンセット」を利用しています。これにより、モデルのアクセスを以下の2種類に制限します：

• 読み取り専用オリジン: Geminiがコンテンツを消費することを許可されたデータ（例: ショッピングサイトの商品リストは関連するが、バナー広告は関連しない）。
• 読み書き可能オリジン: エージェントが特定のページのiframe内でのみクリックや入力を行うことを許可される場所。

この区別により、限られたオリジンからのデータのみがエージェントに提供され、書き込み可能なオリジンにのみ渡されることが保証されます。これにより、クロスオリジンデータ漏洩の脅威ベクトルが抑制され、ブラウザがデータ分離を強制できるようになります。

ナビゲーションと悪意あるURLの防止

さらに、Googleは別のオブザーバーモデルを通じて、ページナビゲーションも監視しています。これは、モデルが生成した有害な可能性のあるURLへのナビゲーションを防ぐために機能します。

ユーザーによる制御とプライバシー保護

Googleは、機密性の高いタスクにおいてユーザーに最終的な制御権を委ねています。例えば、エージェントが銀行や医療データなど、機密情報を含むサイトへアクセスしようとする場合、まずユーザーに許可を求めます。

サインインが必要なサイトでは、Chromeがパスワードマネージャーを使用することを許可するかどうかをユーザーに確認します。Googleは、エージェントのモデルがパスワードデータに一切アクセスしないことを強調しています。また、購入を行う前やメッセージを送信する前にも、ユーザーに同意を求めます。

継続的なセキュリティ強化

これらの対策に加え、Googleは不要なアクションを防ぐためのプロンプトインジェクション分類器も導入しており、研究者が作成した攻撃シナリオに対してエージェント機能のテストを継続的に実施しています。

AIブラウザ開発業界全体でもセキュリティへの注目が高まっており、例えばPerplexityも、エージェントに対するプロンプトインジェクション攻撃を防ぐための新しいオープンソースコンテンツ検出モデルをリリースしています。

---

元記事: https://techcrunch.com/2025/12/08/google-details-security-measures-for-chromes-agentic-features/