Chrome als autonomer KI-Agent: Wie Google die Sicherheit gewährleisten will

Google hat nun detailliert dargelegt, wie die im September angekündigten KI-Funktionen für Chrome, die in den kommenden Monaten ausgerollt werden sollen, abgesichert werden. Das Unternehmen setzt demnach auf ein mehrstufiges Kontrollsystem, statt der KI blind zu vertrauen.

Kernstück ist der sogenannte User Alignment Critic, der auf Gemini basiert. Seine Aufgabe ist es aber nicht, die Handlung auszuführen, sondern das Planungsmodell zu überwachen. Schlägt der Planer eine Aktion vor, prüft der Critic, ob diese Schritte logisch zum Ziel passen. Der Critic sieht lediglich die Metadaten der geplanten Aktionen, erhält aber keinen Zugriff auf die tatsächlichen Webinhalte. Erscheint ein Schritt unlogisch oder potenziell fehlerhaft, wird der Vorgang gestoppt und das Planungsmodell muss neu kalkulieren.

Damit der digitale Assistent sich nicht auf einer Webseite verläuft oder mit irrelevanten Elementen interagiert, führt Google Agent Origin Sets ein. Diese definieren strikt, welche Bereiche einer Seite das Modell lesen und wo es klicken oder schreiben darf. Bei einem Onlineshop wäre beispielsweise die Produktliste für den Agenten sichtbar und interagierbar, Werbebanner jedoch nicht. Ergänzend dazu prüft ein Beobachtermodell jede URL, bevor eine Navigation stattfindet, um den Aufruf schädlicher, vom Modell generierter Adressen zu unterbinden.

Trotz aller Automatisierung bleibt bei kritischen Vorgängen der Nutzer der Entscheidungsträger. Google hat klare Grenzen definiert:

• Sensible Daten: Bei Zugriffen auf Gesundheits- oder Bankdaten fragt das System um Erlaubnis.
• Logins: Soll sich der Agent irgendwo einloggen, muss der Nutzer den Zugriff auf den Passwort-Manager explizit freigeben. Das KI-Modell selbst bekommt das Passwort dabei nie im Klartext zu sehen.
• Abschluss: Bevor Geld fließt oder eine Nachricht versendet wird, ist eine manuelle Bestätigung erforderlich.

Ein bekanntes Problem bei KI-Agenten ist die sogenannte „Prompt Injection“. Dabei versuchen Angreifer, durch versteckte Befehle auf Webseiten das Verhalten der KI zu manipulieren. Google setzt hierfür einen speziellen Klassifikator ein, der solche Angriffe erkennen soll. Die Systeme werden zudem gegen Szenarien getestet, die von Sicherheitsforschern entwickelt wurden.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.