.png)
Agentic browser là một chế độ mới, trong đó một AI agent được cấu hình để tự động thực hiện các tác vụ nhiều bước cho người dùng trên web, bao gồm điều hướng trang web, đọc nội dung trang web, click vào biểu tượng, điền vào biểu mẫu và thực hiện các chuỗi hành động khác. Theo Google, User Alignment Critic là một mô hình LLM riêng biệt và hoạt động như một “thành phần hệ thống có độ tin cậy cao”.
Trợ lý AI Gemini có khả năng tạo văn bản, nội dung đa phương tiện và thậm chí là code. Nền tảng này được sử dụng trên Android và nhiều dịch vụ khác của Google, đồng thời tích hợp vào Chrome từ tháng 9/2025. Vào thời điểm đó, Google đã công bố kế hoạch bổ sung tính năng Agentic Browsing vào Chrome, thông qua Gemini và hiện công ty đang giới thiệu một giải pháp bảo mật mới để bảo vệ nó.
Kiến trúc mới được kỹ sư Nathan Parker của Google công bố, giúp giảm thiểu rủi ro về việc chèn mã độc gián tiếp, trong đó nội dung các trang độc hại thao túng các AI agent thực hiện các hành động không an toàn, từ đó làm lộ dữ liệu người dùng hoặc tạo điều kiện cho các giao dịch lừa đảo.
Parker giải thích rằng tính năng bảo mật mới bao gồm phương pháp phòng thủ theo lớp kết hợp các tập luật được thiết lập chặt chẽ, biện pháp bảo vệ “model-level” và giám sát người dùng.
Các trụ cột chính của kiến trúc mới là:
- User Alignment Critic: Một mô hình Gemini thứ hai, cô lập và không thể bị “đầu độc” bởi các prompt độc hại, sẽ kiểm tra mọi hành động mà AI agent chính muốn thực hiện, bằng cách phân tích metadata và tự đánh giá tính an toàn của nó. Nếu hành động được coi là rủi ro, nó sẽ yêu cầu thử lại hoặc trả lại quyền điều khiển cho người dùng.
User Alignment Critic trên Chrome
- Origin Sets: Hạn chế quyền truy cập của agent vào web, chỉ cho phép tương tác với các trang web và thành phần cụ thể. Các origin không liên quan, bao gồm cả iframe, sẽ bị giữ lại hoàn toàn và một chức năng cổng đáng tin cậy phải phê duyệt các origin mới. Điều này ngăn chặn rò rỉ dữ liệu giữa các trang web và hạn chế phạm vi ảnh hưởng của tác nhân bị xâm phạm.
.png)
Hạn chế những gì agent nhìn thấy trên một trang web nhất định
- User oversight: Khi agent truy cập vào các trang web nhạy cảm như cổng thông tin ngân hàng hoặc yêu cầu đăng nhập Trình quản lý mật khẩu để truy cập mật khẩu đã lưu, Chrome sẽ tạm dừng tiến trình và nhắc người dùng xác nhận hành động theo cách thủ công.
.png)
Người dùng được nhắc xử lý bước cuối cùng của hành động rủi ro
- Prompt injection detection: Một tính năng phân loại trên Chrome sẽ rà quét các trang để tìm các hành vi chèn mã độc. Hệ thống này hoạt động cùng với tính năng Safe Browsing và phát hiện lừa đảo trên thiết bị, ngăn chặn các hành vi hoặc nội dung bị nghi ngờ là độc hại.
Phương pháp phòng thủ theo lớp này cho thấy Google cẩn trọng hơn khi cấp cho các mô hình LLM của mình quyền truy cập vào trình duyệt so với các nhà cung cấp tương tự.
Google cũng đã phát triển các hệ thống Red Team tự động tạo ra các trang web thử nghiệm và các cuộc tấn công do LLM điều khiển, để từ đó liên tục kiểm tra các biện pháp phòng thủ và phát triển các giải pháp mới khi cần thiết, nhanh chóng cập nhật đến người dùng thông qua cơ chế cập nhật tự động của Chrome.
Để thúc đẩy nghiên cứu bảo mật trong lĩnh vực này, Google đã công bố khoản tiền thưởng lên tới 20.000 USD cho bất kỳ ai có thể phá vỡ hệ thống mới, đồng thời kêu gọi cộng đồng cùng chung tay xây dựng một khuôn khổ duyệt web mạnh mẽ trên Chrome.
