L'arrivée de Des agents d'intelligence artificielle intégrés au navigateur Cela change notre façon d'utiliser le web. Dans Chrome, ces agents basés sur Gemini ne se limitent plus à l'affichage de pages : Ils peuvent rechercher des informations, remplir des formulaires ou progresser dans les processus d'achat en notre nom.Cela ouvre la voie à une navigation beaucoup plus automatisée, mais aussi à de nouveaux risques de sécurité particulièrement préoccupants en Europe, où la protection des données et la cybersécurité sont des sujets hautement réglementés.
Google a décidé d'anticiper ces risques avec une renforcement spécifique des défenses de Chrome contre les attaques par injection. L'entreprise sait que Un agent doté de trop de liberté et de trop peu de protection pourrait devenir un outil très dangereux entre les mains d'un attaquant.Capables d'effectuer des actions que l'utilisateur n'aurait jamais autorisées, ces agents ont nécessité une architecture spécifique conçue par l'équipe de sécurité du navigateur. Cette architecture étend des principes classiques comme l'isolation de la source et les adapte au nouveau contexte du « web des agents ».
Agents dans Chrome : puissance et nouveaux risques de sécurité
Avec l'intégration de Gemini, Chrome commence à intégrer des agents capables de planifier et exécuter des chaînes d'actions pour le compte de l'utilisateurPar exemple, ils peuvent collecter des données provenant de divers sites web, les analyser, remplir un formulaire Voire même initier un processus d'achat sans que l'utilisateur ait à intervenir à chaque étape. Cette avancée technologique promet confort et productivité, tant pour les particuliers que pour les entreprises, en Espagne et dans le reste de l'Europe.
Le problème est que, si ces agents ne sont pas correctement protégés, L'attaque se concentre désormais sur le modèle d'IA lui-même, et non plus sur l'utilisateur.Il ne s'agit plus seulement d'afficher un site web malveillant ou une publicité trompeuse ; il s'agit de manipuler le contenu que l'agent voit afin qu'il prenne des décisions préjudiciables à l'utilisateur : autoriser des paiements, partager des données confidentielles ou visiter des sites indésirables.
Compte tenu de ce scénario, Google a opté pour une architecture de sécurité spécifique qui s'appuie sur les mesures de sécurité déjà connues des navigateurs traditionnels. Elle consiste à appliquer des principes tels que l'isolation des sites et un contrôle strict des autorisations, adaptés au contexte dans lequel Un modèle d'IA agit comme intermédiaire entre l'utilisateur et le web, un aspect qui, jusqu'à présent, n'était pas pris en compte par les modèles de menaces classiques.
Cette approche est particulièrement pertinente sur les marchés où la réglementation des données personnelles et des services numériques est stricte, comme en Europe. Bien que Google n'ait pas détaillé de mesures spécifiques à l'UE, La conception de ces défenses vise à réduire le risque de fuites d'informations et les actions non autoriséesCela correspond parfaitement aux exigences des organismes de réglementation communautaires.
Injection indirecte : le nouveau point faible des agents
La menace la plus inquiétante dans ce nouveau contexte est ce qu'on appelle injection indirecteContrairement aux attaques plus classiques, qui visent généralement à tromper directement l'utilisateur, la cible ici est le modèle d'intelligence artificielle qui contrôle l'agent. L'attaquant tente d'insérer des instructions ou du contenu malveillants que le modèle interprète comme légitimes et exécute.
Ce qui est délicat avec ce type d'attaques, c'est que Des instructions malveillantes peuvent être dissimulées dans un contenu apparemment inoffensif.Les commentaires des utilisateurs sur une page, les publicités, le texte intégré via des iframes tiers, ou même des fragments intentionnellement écrits pour détourner la prise de décision du modèle peuvent servir de canal pour modifier le comportement de l'agent.
Si cette tentative réussit, les conséquences pourraient être graves : un agent manipulé pourrait initier transactions financières sans supervision suffisante, fuites de données sensibles ou exécution d'actions que l'utilisateur n'a pas clairement autorisées.Pour les utilisateurs en Espagne ou dans d'autres pays européens, cela pourrait avoir un impact à la fois sur leur sécurité économique et sur leur conformité aux réglementations en matière de protection des données.
Pour minimiser ces risques, l'équipe Chrome a opté pour une stratégie de défense en profondeurTout n'est pas confié à un seul filtre, mais des contrôles déterministes — des règles claires, basées sur des autorisations et des politiques techniques — sont combinés à des modèles de détection probabilistes, également basés sur l'IA, qui tentent d'identifier les comportements ou les contenus suspects avant que l'agent ne les accepte comme valides.
Ainsi, manipuler un agent devient beaucoup plus coûteux et complexe pour un attaquant. Il ne suffit plus d'insérer un texte malveillant dans une page : Ce contenu doit passer par plusieurs niveaux de vérification.Certaines sont basées sur des règles strictes du navigateur, d'autres sur des modèles qui évaluent si l'action proposée est pertinente pour l'utilisateur et le contexte.
Le modèle critique d'alignement des utilisateurs : un second modèle qui surveille le premier
Parmi les nouvelles fonctionnalités les plus remarquables figure ce que l'on appelle Critique de l'alignement des utilisateurs (Critique d'alignement de l'utilisateur). Il s'agit essentiellement d'un modèle indépendant, également basé sur la technologie Gemini, dont la tâche consiste à examiner ce que l'agent souhaite faire avant que le navigateur ne l'exécute.
Ce critique fonctionne comme une sorte de superviseur interne : chaque fois que l’agent propose une action, par exemple, soumettre un formulaire, visiter un nouveau site web ou interagir avec un élément sensible de la page—, le critique évalue si cette action semble correspondre aux attentes de l'utilisateur et à la tâche qu'il effectue.
Si le réviseur détecte une anomalie, il peut bloquer l'action, demander une confirmation supplémentaire ou appliquer des règles plus restrictives. L'idée est que Il ne suffit pas que le modèle principal ait « décidé » de faire quelque chosemais plutôt qu'il existe un second avis automatisé qui serve de frein en cas de besoin, notamment aux étapes ayant le plus grand impact potentiel.
Cette approche s'inscrit dans la tendance du secteur qui consiste à intégrer des mécanismes de surveillance et d'alignement aux systèmes d'IA complexes. Dans le contexte européen, où des réglementations spécifiques en matière d'intelligence artificielle sont mises en place, La mise en place de ce type de mesures de protection peut être essentielle pour que les navigateurs dotés d'agents répondent aux normes attendues. et sont acceptables pour les autorités et les utilisateurs.
De plus, Google indique qu'il existe des variantes de ce critique spécialisées dans différentes phases de la navigation. Par exemple, avant de charger un nouveau site ou de traiter certaines donnéesUne version adaptée de cette analyse examine si l'action proposée est raisonnable ou si elle pourrait exposer des informations privées, réduisant ainsi la probabilité de fuites involontaires.
Ensembles de sources d'agents : où il peut lire et où il peut agir
Un autre élément central de cette stratégie est ce qu'on appelle Ensembles de sources d'agentsIl s'agit d'une évolution de la même politique d'isolation de l'origine et du site que Chrome applique depuis des années, mais appliquée au domaine des agents d'IA qui doivent interagir avec plusieurs sites web pour accomplir une tâche.
En pratique, lorsqu'un utilisateur demande à l'agent quelque chose de complexe, par exemple, Comparez les prix sur plusieurs sites de vente en ligne européens et effectuez votre réservation.Chrome n'autorise pas un accès indiscriminé à n'importe quelle source Internet. Au contraire, son architecture définit un ensemble limité de sites avec lesquels l'agent peut interagir, en fonction des demandes ou autorisations explicites de l'utilisateur.
Ces ensembles se divisent en deux grandes catégories. D'une part, il y a les origines de lecture seuleÀ partir de ces sources, l'agent peut consommer du contenu (lire des textes, analyser des prix, consulter des avis), mais sans pouvoir entreprendre d'actions. Par ailleurs, il existe des sources d'information sur les processus de recherche. Lire et écrire, dans lequel, en plus de consulter les informations, l'agent peut interagir : cliquer, saisir du texte ou soumettre des formulaires.
De cette manière, le navigateur garantit que L'agent ne devrait pas avoir accès au contenu de sites non pertinents pour la tâche en cours.Les iframes ou les éléments intégrés qui n'ont aucun rapport avec ce que l'utilisateur essaie de faire ne sont même pas exposés au modèle, ce qui réduit considérablement les risques de fuites intersites ou d'injections indirectes via du contenu secondaire.
Un aspect important est que les fonctions déterminent quelles sources sont incluses ou exclues de ces ensembles. Elles sont exécutées en dehors du cadre du contenu web non fiable.Autrement dit, un site malveillant ne peut pas influencer directement la liste des sites web auxquels l'agent peut accéder. De plus, l'agent lui-même ne peut pas étendre cette liste : toute modification doit être traitée par le système de sécurité du navigateur.
Navigation, URL et rôle de l'utilisateur dans les décisions critiques
Le contrôle ne se limite pas aux sites avec lesquels l'agent peut interagir ; il affecte également les parcours de navigation qu'il suggère et les URL qu'il génère. Si le modèle suggère de visiter un nouvelle origine qui ne fait pas partie de l'ensemble autoriséChrome ne le fait pas automatiquement. Avant de commencer le chargement de la page, une variante du critère d'alignement analyse si cette navigation est pertinente pour la tâche en cours ou si elle pourrait constituer une tentative de détourner l'agent vers un environnement moins sécurisé.
De plus, le navigateur applique des vérifications déterministes supplémentaires pour empêcher les URL générées par le modèle de contenir informations privées ou identifiants sensiblesDans la mesure du possible, l'utilisation de domaines publics bien connus est limitée, réduisant ainsi l'exposition des données personnelles et la probabilité de créer des liens qui révèlent plus que nécessaire.
Malgré le haut degré d'automatisation, Chrome maintient l'utilisateur au cœur des moments critiques. Toutes les actions de l'agent Elles se reflètent dans un dossier de travail visibleafin que la personne puisse surveiller le fonctionnement du système, mettre une tâche en pause ou l'annuler complètement si elle détecte quelque chose qui ne lui convient pas.
Lors d'opérations particulièrement sensibles, le navigateur exige toujours une confirmation explicite. On parle d'étapes comme accéder à des sites web bancaires ou de santé, se connecter via Google Password Manager ou effectuer des paiements et des achats en ligneDans ces cas, l'agent s'arrête et demande clairement l'autorisation, constituant ainsi un dernier rempart contre les erreurs de modélisation ou les tentatives d'ingénierie sociale visant à forcer une action à l'insu de l'utilisateur.
L'ensemble de ce cadre de contrôles, de modèles de surveillance et de participation active des utilisateurs démontre à quel point Google s'efforce d'adapter Chrome à un avenir où les agents d'IA joueront un rôle prépondérant. Des mesures telles que le critère d'alignement des utilisateurs, les ensembles de sources d'agents et les restrictions sur l'injection indirecte, Le navigateur vise à offrir plus d'automatisation sans sacrifier le contrôle ni la sécurité.Cet équilibre est particulièrement important pour les millions de personnes et d'organisations qui dépendent de Chrome en Espagne et dans le reste de l'Europe.
