Google宣布在Chrome中加入多层次安全防护层，防止Gemini代理人在上网时遭遇间接提示注入攻击。

AI浏览器的主要威胁之一是间接提示注入，可能出现在恶意网站、通过iframe提供的第三方内容，或用户评论等用户生成的内容中。此类威胁可能导致代理执行高风险操作，例如进行资金交易或泄露敏感数据。

为此，Google此前已引入模型强化、输入/输出检查（如分类器）及系统级防护等措施来保护AI模型免受间接提示注入。本周宣布的是为Chrome新增的安全架构，包含五个主要部分：用户对齐评判员、来源隔离、用户确认、威胁实时检测和红队演练与响应。

第一，用户对齐评判员

用户对齐评判员是另一个基于Gemini构建的模型，担任代理行为的评判角色。该模型借鉴了双LLM架构及Google DeepMind的CaMeL研究。它在代理完成规划后运行，确认每一项预定操作是否与任务核心对齐。该组件仅查看预定操作的元数据，不接触任何无关的不可信网页内容，从而避免被网页内容污染。若行为与任务目标不一致，评判员模型将否决该操作，有效防止目标劫持和数据泄露。

第二，来源隔离

Google将Chrome现有的站点隔离（site isolation）和同源策略（same-origin policy）安全原则扩展至代理的来源控制。这使得Gemini代理仅能访问与任务相关的来源数据，或用户主动共享的信息。此举可防止代理对无关来源执行任意操作。Google进一步将来源划分为只读来源和可读写来源。

第三，敏感行为的透明度与管控

Gemini会清晰告知每一步操作流程，并确保用户拥有最终决策权。在涉及敏感信息时，例如访问银行交易、个人医疗记录，使用Google密码管理器登录网站，或完成在线购买、支付、发送消息等操作前，系统均会要求用户手动确认。

第四，威胁实时检测

为防范有害网页内容，除Chrome现有的Safe Browsing和本地AI实时扫描外，Chrome还新增了提示注入分类器。该分类器与规划模型推理同步运行，当检测到内容意图引导模型执行偏离任务的行为时，将立即阻断相关操作。但Google表示，该分类器不会标记所有影响模型的因素。

第五，红队演练与响应

为验证Chrome防护能力，Google构建了自动化红队演练系统，生成沙箱化的恶意网站对Chrome代理进行测试。测试结果将作为内部工程师的反馈，用于自动更新和优化算法，持续提升防护效果。