Google anunció el lunes un conjunto de nuevas características de seguridad en Chrome, luego de que la compañía agregó capacidades de inteligencia artificial (IA) agente al navegador web.
Con ese fin, el gigante tecnológico dijo que ha implementado defensas en capas para dificultar que los malos actores aprovechen las inyecciones indirectas que surgen como resultado de la exposición a contenido web no confiable e inflijan daño.
La principal de las características es una crítica de alineación de usuarios, que utiliza un segundo modelo para evaluar de forma independiente las acciones del agente de una manera aislada de indicaciones maliciosas. Este enfoque complementa las técnicas existentes de Google, como destacandoque indican al modelo que se ciña a las instrucciones del usuario y del sistema en lugar de seguir lo que está integrado en una página web.
«La crítica de alineación del usuario se ejecuta después de que se completa la planificación para verificar cada acción propuesta», Google dicho. «Su enfoque principal es la alineación de tareas: determinar si la acción propuesta sirve al objetivo declarado del usuario. Si la acción está desalineada, el crítico de alineación la vetará».
El componente está diseñado para ver solo metadatos sobre la acción propuesta y se le impide acceder a cualquier contenido web no confiable, lo que garantiza que no se envenene mediante mensajes maliciosos que puedan incluirse en un sitio web. Con User Alignment Critic, la idea es proporcionar salvaguardias contra cualquier intento malicioso de exfiltrar datos o secuestrar los objetivos previstos para llevar a cabo las órdenes del atacante.
«Cuando se rechaza una acción, el crítico proporciona retroalimentación al modelo de planificación para reformular su plan, y el planificador puede devolver el control al usuario si hay fallas repetidas», dijo Nathan Parker del equipo de seguridad de Chrome.
Google también está aplicando lo que se llama Conjuntos de orígenes de agentes para garantizar que el agente solo tenga acceso a datos de orígenes que sean relevantes para la tarea en cuestión o fuentes de datos que el usuario haya optado por compartir con el agente. Esto tiene como objetivo abordar las omisiones de aislamiento de sitios donde un agente comprometido puede interactuar con sitios arbitrarios y permitirle extraer datos de los sitios en los que ha iniciado sesión.
Esto se implementa mediante una función de control que determina qué orígenes están relacionados con la tarea y los clasifica en dos conjuntos:
- Orígenes de solo lectura, desde los cuales el modelo Gemini AI de Google puede consumir contenido
- Orígenes de lectura y escritura, en los que el agente puede escribir o hacer clic además de leer
«Esta delimitación obliga a que el agente sólo tenga a disposición del agente los datos de un conjunto limitado de orígenes, y estos datos sólo pueden transmitirse a los orígenes en los que se puede escribir», explicó Google. «Esto limita el vector de amenaza de las filtraciones de datos entre orígenes».
De manera similar a User Alignment Critic, la función de activación no está expuesta a contenido web que no sea de confianza. El planificador también debe obtener la aprobación de la función de control antes de agregar nuevos orígenes, aunque puede usar el contexto de las páginas web que un usuario ha compartido explícitamente en una sesión.
Otro pilar clave que sustenta la nueva arquitectura de seguridad se relaciona con la transparencia y el control del usuario, lo que permite al agente crear un registro de trabajo para la observabilidad del usuario y solicitar su aprobación explícita antes de navegar a sitios sensibles, como portales bancarios y de atención médica, permitir inicios de sesión a través del Administrador de contraseñas de Google o completar acciones web como compras, pagos o envío de mensajes.
Por último, el agente también verifica cada página en busca de inyecciones de avisos indirectos y opera junto con la navegación segura y la detección de estafas en el dispositivo para bloquear contenido potencialmente sospechoso.
«Este clasificador de inyección rápida se ejecuta en paralelo a la inferencia del modelo de planificación y evitará que se tomen acciones basadas en el contenido que el clasificador determinó que ha apuntado intencionalmente al modelo para hacer algo que no está alineado con el objetivo del usuario», dijo Google.
Para incentivar aún más la investigación y encontrar agujeros en el sistema, la compañía dijo que pagará hasta 20.000 dólares por manifestaciones que resulten en una violación de los límites de seguridad. Estos incluir inyecciones inmediatas indirectas que permiten a un atacante:
- Realizar acciones deshonestas sin confirmación.
- Exfiltrar datos confidenciales sin una oportunidad efectiva para la aprobación del usuario.
- Omitir una mitigación que idealmente debería haber evitado que el ataque tuviera éxito en primer lugar.
«Al ampliar algunos principios básicos como el aislamiento de origen y las defensas en capas, e introducir una arquitectura de modelo confiable, estamos construyendo una base segura para las experiencias agentes de Gemini en Chrome», dijo Google. «Seguimos comprometidos con la innovación continua y la colaboración con la comunidad de seguridad para garantizar que los usuarios de Chrome puedan explorar esta nueva era de la web de forma segura».
El anuncio sigue la investigación de Gartner que pidió a las empresas que bloqueen el uso de navegadores de IA agentes hasta que los riesgos asociados, como inyecciones indirectas, acciones erróneas de los agentes y pérdida de datos, puedan gestionarse adecuadamente.
La investigación también advierte sobre un posible escenario en el que los empleados «podrían verse tentados a utilizar navegadores de inteligencia artificial y automatizar ciertas tareas que son obligatorias, repetitivas y menos interesantes». Esto podría cubrir casos en los que una persona elude la capacitación obligatoria en ciberseguridad al indicarle al navegador de IA que la complete en su nombre.
«Los navegadores agentes, o lo que muchos llaman navegadores de IA, tienen el potencial de transformar la forma en que los usuarios interactúan con los sitios web y automatizar transacciones al tiempo que introducen riesgos críticos de ciberseguridad», dijo la firma asesora. «Los CISO deben bloquear todos los navegadores de IA en el futuro previsible para minimizar la exposición al riesgo».
El desarrollo se produce cuando el Centro Nacional de Seguridad Cibernética de EE. UU. (NCSC) dijo que los modelos de lenguajes grandes (LLM) pueden sufrir una clase persistente de vulnerabilidad conocida como inyección rápida y que el problema nunca podrá resolverse en su totalidad.
«Los modelos de lenguajes grandes (LLM) actuales simplemente no imponen un límite de seguridad entre las instrucciones y los datos dentro de un mensaje», dicho David C, director técnico de Investigación de Plataformas del NCSC. «Por lo tanto, las protecciones de diseño deben centrarse más en salvaguardas deterministas (no LLM) que limitan las acciones del sistema, en lugar de simplemente intentar evitar que el contenido malicioso llegue al LLM».
Fuente