مدیریت23 بهمن 1404

گوگل کروم چگونه از کاربران در برابر خطرات مرورگرهای هوشمند محافظت می‌کند؟

مروری کوتاه بر خبر

  • گوگل سازوکارهای امنیتی جدیدی برای محافظت از کاربران کروم در برابر خطرات «مرور عاملیت‌گرا» معرفی کرده است.
  • مدل «User Alignment Critic» اقدامات پیشنهادی عامل را با هدف واقعی کاربر تطبیق می‌دهد.
  • چارچوب «Agent Origin Sets» دسترسی عامل را فقط به سایت‌های مرتبط با وظیفه محدود می‌کند.
  • برای اقدامات حساس مانند پرداخت، تأیید نهایی از کاربر گرفته می‌شود.
  • یک طبقه‌بندی‌کننده ویژه برای مقابله با حملات «تزریق دستور» (prompt injection) طراحی شده است.
  • این سیستم‌ها تحت آزمون‌های امنیتی مداوم و شبیه‌سازی حملات قرار خواهند گرفت.

مروری بر تدابیر امنیتی جدید گوگل کروم

شرکت گوگل روز ۸ دسامبر ۲۰۲۵ از سازوکارهای امنیتی‌ای پرده برداشت که برای محافظت از کاربران مرورگر Chrome در برابر مخاطرات ویژه «مرور عاملیت‌گرا» طراحی شده‌اند. این نوع مرورگرها با قابلیت‌هایی همچون پر کردن خودکار فرم، خرید یا رزرو آنلاین و اجرای تسک‌ها به نمایندگی از کاربر، در صورت عدم کنترل دقیق می‌توانند منجر به دسترسی ناامن به اطلاعات حساس، عملیات ناخواسته یا افشای داده شوند.

مدل «منتقد همترازی کاربر»

مهم‌ترین بخش این تدابیر اولیه، مدل جدیدی به نام User Alignment Critic است. این مدل پس از آن‌که مدل «برنامه‌ریز» پیشنهاد اقدام (مانند کلیک، پر کردن فرم یا رفتن به سایت خاص) را آماده می‌کند، وارد عمل شده و بررسی می‌کند که آیا آن اقدام به طور واقعی با هدف کاربر مطابقت دارد یا خیر. اگر مدل تشخیص دهد قصد کاربر نیست، برنامه بازنگری می‌شود و اگر باز هم نتواند تضمین دهد، کنترل به کاربر بازمی‌گردد. جالب این‌که این «منتقد» فقط metadata (و نه محتوای خام وب) را می‌بیند، بنابراین مشاهده دقیق صفحات یا داده‌های حساس برای آن ممکن نیست.

محدودسازی دسترسی با «مجموعه‌های مبدأ عامل»

در کنار آن، گوگل چارچوب امنیتی‌ای به نام Agent Origin Sets معرفی کرده است. این چارچوب تعیین می‌کند که عامل تنها به «مبدأ»های خاصی، یعنی همان سایت‌ها یا آی‌فریم‌هایی که مرتبط با وظیفه هستند، دسترسی داشته باشد. برای نمونه، در یک سایت خرید، فقط فهرست محصولات «خواندنی» هستند و بنرهای تبلیغاتی در نظر گرفته نمی‌شوند. همچنین عامل فقط می‌تواند روی مبدأهای از پیش مجاز «کلیک» یا «تایپ» کند.

لایه‌های کنترلی و تأیید کاربر

علاوه بر این موانع ساختاری، Chrome دارای لایه‌های کنترلی است تا قبل از انجام کارهای حساس همچون پرداخت، ورود به حساب، ارسال پیام یا مراجعه به سایت‌های حساس (مانند بانک یا پزشکی) از کاربر تأیید بگیرد. در این مواقع عامل متوقف می‌شود و از کاربر درخواست می‌کند خودش مرحله نهایی را تکمیل کند.

مقابله با حملات «تزریق دستور»

برای جلوگیری از حملات موسوم به «تزریق دستور» (prompt injection)، جایی که بدافزار یا محتوای مخرب تلاش می‌کند عامل هوش مصنوعی را فریب دهد، گوگل از طبقه‌بندی‌کننده‌ای ویژه استفاده می‌کند که محتوای نامطمئن را شناسایی و اقدامات را مسدود می‌کند. این طبقه‌بندی‌کننده در کنار قابلیت «مرور ایمن» (Safe Browsing) و سیستم امنیتی سنتی Chrome کار می‌کند.

تست‌های امنیتی مداوم و شفافیت

گوگل اعلام کرده است این تدابیر تحت آزمون‌های «تیم قرمز» (red-teaming) و تست‌های امنیتی مداوم قرار خواهند گرفت. پژوهشگران امنیتی موانعی می‌سازند که تلاش می‌کنند عامل را فریب دهند یا به داده‌های حساس دسترسی یابند و Chrome بر اساس نتایج این حملات، تدابیر خود را به‌روز می‌کند. این معماری با هدف ایجاد «شفافیت و کنترل» طراحی شده است. کاربران می‌توانند «گزارش کار» عامل را ببینند، در هر لحظه کار را متوقف یا به خودشان منتقل کنند و تنها با تأیید خودشان، عامل اجازه انجام اقدامات مهم را خواهد داشت.

هشدار نهایی گوگل

با این حال، حتی گوگل هم هشدار داده است که «دفاع در برابر مرور عاملیت‌گرا» یک حوزه نوظهور است و هیچ‌کدام از این مکانیسم‌ها نمی‌توانند تضمین ۱۰۰درصد ایمنی بدهند. بنابراین همکاری کاربران، احتیاط و آگاهی درباره مجوزها و سایت‌هایی که به عامل اجازه می‌دهند، همچنان ضروری است.

منبع: imna.ir

تکنولوژی
مدیریت23 بهمن 1404
نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
ads