谷歌近日披露了在 Chrome 瀏覽器中部署“代理式”（Agentic）功能前，將如何通過多重技術手段為用户建立安全護欄，以應對自動代辦購票、網購等新能力背後潛在的數據與資金風險。在 9 月預覽過相關功能後，谷歌表示，這些基於 Gemini 模型的代理式瀏覽能力將在未來數月內向用户逐步開放。

據介紹，谷歌在 Chrome 中引入了多種“觀察者模型”，對代理執行的操作進行實時審查與約束，其中一項核心機制是利用 Gemini 構建“用户對齊審查器”（User Alignment Critic），專門檢查規劃模型為某項任務生成的行動序列是否真正符合用户意圖。如果審查器認為某些步驟偏離用户目標，它會要求規劃模型重新調整策略，而這一過程僅依賴操作元數據而非完整網頁內容，以降低隱私暴露面。

在訪問來源控制方面，谷歌引入了“Agent Origin Sets”機制，對代理可讀取與可讀寫的網站來源進行嚴格劃分，避免模型在不可信站點或不相關頁面元素上執行操作。例如，在電商網站上，商品列表被視為與任務相關的可讀內容，而頁面中的橫幅廣告等則會被排除在可讀取範圍之外，代理也只能在被允許的特定 iframe 區域內點擊或輸入，從而減少跨源數據泄露的風險。

谷歌同時使用另一套觀察模型對代理的頁面跳轉行為進行監控，以攔截由模型生成但可能存在風險的 URL，防止自動化流程誤入惡意網站。在處理涉及銀行、醫療等敏感信息的網站時，Chrome 會在代理嘗試訪問前彈窗詢問用户是否放行，並在需要使用密碼管理器登錄時徵求用户授權，整個過程中代理模型本身不會直接接觸密碼數據。

在執行高敏感操作方面，谷歌強調最終決定權將交由用户，包括在線支付、提交信息或發送消息等關鍵步驟，代理都必須事先獲得明確確認。谷歌還部署了提示注入（prompt injection）分類器，用於識別並阻斷惡意指令，並通過研究人員設計的攻擊樣本對這些代理功能持續進行安全測試。

除谷歌之外，其他瀏覽器廠商同樣在強化 AI 代理安全能力。近日，Perplexity 發佈了一款新的開源內容檢測模型，用於在瀏覽場景下識別並防禦針對代理的提示注入攻擊，顯示出行業在自動化瀏覽時代對安全問題的高度敏感與投入。