Google voegt gelaagde verdediging toe aan Chrome om indirecte injectiebedreigingen te blokkeren

Cyberbeveiliging
Google voegt gelaagde verdediging toe aan Chrome om indirecte injectiebedreigingen te blokkeren

Google heeft maandag een reeks nieuwe beveiligingsfuncties in Chrome aangekondigd, na de toevoeging van agentische kunstmatige intelligentie (AI) aan de webbrowser.

Daartoe zei de technologiegigant dat het gelaagde verdedigingen heeft geïmplementeerd om het voor slechte actoren moeilijker te maken om indirecte prompte injecties te exploiteren die ontstaan ​​als gevolg van blootstelling aan niet-vertrouwde webinhoud en schade toebrengen.

De belangrijkste van de functies is een User Alignment Critic, die een tweede model gebruikt om de acties van de agent onafhankelijk te evalueren op een manier die geïsoleerd is van kwaadaardige aanwijzingen. Deze aanpak is een aanvulling op de bestaande technieken van Google, zoals spotlighting, die het model instrueren zich aan gebruikers- en systeeminstructies te houden in plaats van zich te houden aan wat er in een webpagina is ingebed.

“De User Alignment Critic wordt uitgevoerd nadat de planning is voltooid om elke voorgestelde actie nogmaals te controleren”, aldus Google. “De primaire focus is taakafstemming: bepalen of de voorgestelde actie het gestelde doel van de gebruiker dient. Als de actie niet goed is afgestemd, zal de Alignment Critic een veto uitspreken.”

De component is ontworpen om alleen metagegevens over de voorgestelde actie weer te geven en wordt verhinderd toegang te krijgen tot onbetrouwbare webinhoud, waardoor wordt gegarandeerd dat deze niet wordt vergiftigd door kwaadaardige aanwijzingen die mogelijk op een website zijn opgenomen. Met de User Alignment Critic is het de bedoeling bescherming te bieden tegen kwaadaardige pogingen om gegevens te exfiltreren of de beoogde doelen te kapen om de biedingen van de aanvaller uit te voeren.

“Wanneer een actie wordt afgewezen, geeft de Criticus feedback aan het planningsmodel om het plan opnieuw te formuleren, en kan de planner de controle teruggeven aan de gebruiker als er herhaaldelijke fouten optreden”, zegt Nathan Parker van het Chrome-beveiligingsteam.

Google handhaaft ook zogenaamde Agent Origin Sets om ervoor te zorgen dat de agent alleen toegang heeft tot gegevens van oorsprong die relevant zijn voor de uit te voeren taak of gegevensbronnen die de gebruiker heeft gekozen om met de agent te delen. Dit is bedoeld om omzeilingen voor site-isolatie aan te pakken waarbij een gecompromitteerde agent kan communiceren met willekeurige sites en hem in staat kan stellen gegevens van ingelogde sites te exfiltreren.

Dit wordt geïmplementeerd door middel van een poortfunctie die bepaalt welke oorsprongen verband houden met de taak en deze in twee sets categoriseert:

  • Alleen-lezen oorsprong, van waaruit het Gemini AI-model van Google inhoud mag consumeren
  • Lees-schrijfbare oorsprong, waarop de agent naast het lezen ook kan typen of klikken

“Deze afbakening dwingt af dat alleen gegevens uit een beperkte reeks oorsprongen beschikbaar zijn voor de agent, en dat deze gegevens alleen kunnen worden doorgegeven aan de beschrijfbare oorsprongen”, legt Google uit. “Dit beperkt de dreigingsvector van datalekken over meerdere bronnen.”

Net als bij de User Alignment Critic wordt de poortfunctie niet blootgesteld aan niet-vertrouwde webinhoud. De planner moet ook de goedkeuring van de poortfunctie verkrijgen voordat hij nieuwe oorsprongen toevoegt, hoewel hij context kan gebruiken van de webpagina’s die een gebruiker expliciet in een sessie heeft gedeeld.

Een andere belangrijke pijler die ten grondslag ligt aan de nieuwe beveiligingsarchitectuur heeft betrekking op transparantie en gebruikerscontrole, waardoor de agent een werklogboek kan maken zodat gebruikers deze kunnen observeren en hun expliciete goedkeuring kan vragen voordat hij naar gevoelige sites gaat, zoals portalen voor banken en gezondheidszorg, logins via Google Wachtwoordmanager toestaat of webacties voltooit, zoals aankopen, betalingen of het verzenden van berichten.

Ten slotte controleert de agent elke pagina ook op indirecte promptinjecties en werkt hij samen met Safe Browsing en oplichtingsdetectie op het apparaat om mogelijk verdachte inhoud te blokkeren.

“Deze prompt-injectie-classifier loopt parallel aan de gevolgtrekking van het planningsmodel en zal voorkomen dat er acties worden ondernomen op basis van inhoud waarvan de classifier heeft vastgesteld dat deze het model opzettelijk heeft getarget om iets te doen dat niet in overeenstemming is met het doel van de gebruiker”, aldus Google.

Om onderzoek verder te stimuleren en gaten in het systeem te prikken, zegt het bedrijf dat het tot 20.000 dollar zal betalen voor demonstraties die resulteren in het schenden van de veiligheidsgrenzen. Deze omvatten indirecte promptinjecties waarmee een aanvaller:

  • Voer malafide acties uit zonder bevestiging
  • Exfiltreer gevoelige gegevens zonder een effectieve mogelijkheid voor goedkeuring van de gebruiker
  • Omzeil een beperking die idealiter had moeten voorkomen dat de aanval überhaupt zou slagen

“Door enkele kernprincipes uit te breiden, zoals oorsprongsisolatie en gelaagde verdediging, en door een vertrouwde modelarchitectuur te introduceren, bouwen we een veilige basis voor Gemini’s agentische ervaringen in Chrome”, aldus Google. “We blijven ons inzetten voor voortdurende innovatie en samenwerking met de beveiligingsgemeenschap om ervoor te zorgen dat Chrome-gebruikers dit nieuwe tijdperk van internet veilig kunnen verkennen.”

De aankondiging volgt op onderzoek van Gartner dat bedrijven opriep om het gebruik van agentische AI-browsers te blokkeren totdat de bijbehorende risico’s, zoals indirecte prompt-injecties, foutieve acties van agenten en gegevensverlies, op de juiste manier kunnen worden beheerd.

Het onderzoek waarschuwt ook voor een mogelijk scenario waarin werknemers “in de verleiding zouden kunnen komen om AI-browsers te gebruiken en bepaalde taken te automatiseren die verplicht, repetitief en minder interessant zijn.” Dit kan betrekking hebben op gevallen waarin een individu de verplichte cyberbeveiligingstraining ontwijkt door de AI-browser de opdracht te geven deze namens hem of haar te voltooien.

“Agentische browsers, of wat velen AI-browsers noemen, hebben het potentieel om de manier waarop gebruikers omgaan met websites te transformeren en transacties te automatiseren, terwijl ze kritische cyberveiligheidsrisico’s introduceren”, aldus het adviesbureau. “CISO’s moeten in de nabije toekomst alle AI-browsers blokkeren om de blootstelling aan risico’s te minimaliseren.”

De ontwikkeling komt op het moment dat het Amerikaanse National Cyber ​​Security Center (NCSC) zei dat grote taalmodellen (LLM’s) kunnen lijden onder een aanhoudende kwetsbaarheid die bekend staat als snelle injectie en dat het probleem nooit in zijn geheel kan worden opgelost.

“De huidige grote taalmodellen (LLM’s) dwingen eenvoudigweg geen veiligheidsgrens af tussen instructies en gegevens binnen een prompt”, zegt David C, technisch directeur van NCSC voor Platforms Research. “Ontwerpbeveiligingen moeten zich daarom meer richten op deterministische (niet-LLM) beveiligingen die de acties van het systeem beperken, in plaats van alleen maar te proberen te voorkomen dat kwaadaardige inhoud de LLM bereikt.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

YouTube TV lost het ‘beperkte’ probleem met het afspelen van opgenomen inhoud op

Fairbuds XL Gen 2 modulaire hoofdtelefoon brengt belangrijke ANC- en batterij-upgrades

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]