谷歌正在 Chrome 浏览器中部署一套全新的安全架构，专门用于保护基于 Gemini 的“代理式浏览”功能。该系统名为 User Alignment Critic（用户对齐审查器，简称 UAC），通过隔离 AI 代理与恶意提示、阻断提示注入、限制网站访问权限，并在敏感操作前要求用户确认，全方位提升安全性。

什么是代理式浏览？

“代理式浏览”是一种新型 AI 交互模式：Gemini AI 代理可代表用户在互联网上自主执行多步骤任务，例如：

自动跳转多个网页

阅读页面内容

点击按钮、填写表单

完成一连串复杂操作（如比价、预约、信息汇总等）

这一功能已于 2023 年 9 月随 Gemini 深度集成进 Chrome 浏览器时首次公布。Gemini 是谷歌推出的多功能 AI 助手，能生成文本、图像、代码等内容，广泛应用于 Android 系统及谷歌各类服务中。

然而，赋予 AI 代理如此高的自主权也带来了显著安全风险 —— 尤其是间接提示注入攻击：攻击者可通过网页中的隐藏指令“劫持”AI 代理，诱使其泄露用户数据、协助欺诈交易，甚至执行非用户本意的操作。

为此，谷歌工程师 Nathan Parker 宣布推出这套多层防御体系，旨在从根本上遏制此类威胁。

全新安全架构的五大核心机制

1. User Alignment Critic（UAC）：独立可信的“AI 审查员”

UAC 是一个与主 Gemini 代理完全隔离的独立 LLM 实例，被设计为“高可信系统组件”，无法被外部恶意内容污染。

它会逐项审查主代理计划执行的每一个操作；

基于元数据和上下文，独立判断该操作是否安全、是否符合用户真实意图；

若发现风险或偏离目标，UAC 将阻止操作并交还控制权给用户，或要求重新尝试。

2. Origin Sets（来源集）：严格限定访问范围

AI 代理仅被允许访问任务相关的特定网站和页面元素：

所有第三方 iframe、嵌入内容默认被屏蔽；

新出现的域名需经可信函数验证后才可访问；

有效防止跨站数据泄露，即使代理被部分攻破，危害也被限制在最小范围内。

3. 内容可见性控制：Chrome 决定 AI 能“看到”什么

浏览器会主动过滤页面内容，仅向 AI 代理提供经过净化的、结构化的信息，避免其直接接触原始 HTML 中可能隐藏的恶意脚本或诱导性文本。

4. 用户手动确认机制：敏感操作必须授权

当 AI 代理试图访问银行、支付平台、邮箱等高敏感网站，或需要调用 Google 密码管理器自动填充凭证时，Chrome 会立即暂停流程，弹出明确提示，要求用户手动确认是否继续。

5. 提示注入检测分类器

Chrome 内置新型 AI 分类器，可实时扫描网页是否存在间接提示注入风险。该系统与 Safe Browsing 及本地防护模块协同工作，一旦发现可疑内容，即刻阻断相关操作。

主动防御 + 持续进化

谷歌强调，这套架构体现了其对 LLM 代理接入浏览器所持的高度谨慎态度——相比之下，其他厂商的类似方案此前已被研究人员证明易受钓鱼、提示注入甚至虚假购物等攻击。

为持续提升防护能力，谷歌还开发了自动化 “红队测试”（red-teaming）系统：

自动生成模拟攻击网站和对抗性 AI 场景；

持续压力测试现有防御机制；

快速识别漏洞并推动补丁开发。

得益于 Chrome 的自动更新机制，安全修复可在数小时内全球部署。

为促进安全研究生态，谷歌宣布启动专项漏洞赏金计划：任何成功突破新安全体系的研究者，最高可获得 20,000 美元奖励。公司诚邀全球安全社区共同参与，协力建立真正可靠、值得信赖的 AI 代理浏览架构。

随着 AI 代理逐步从辅助工具演变为自主执行者，其安全边界必须前置且坚固。谷歌此次在 Chrome 中构建的多层防护体系，不仅是一次技术升级，更是对 AI 赋能与用户主权之间平衡的郑重承诺。