Los agentes de IA de Chrome de Google enfrentan una nueva ola de sabotaje cibernético - y desatan una defensa de fortaleza

Imagina un asistente de IA que se encarga de tus tareas en la web - compras, banca, mensajería - sin que muevas un dedo. Ahora imagina a ciberdelincuentes susurrando instrucciones envenenadas en su oído digital, engañándolo para que revele secretos o vacíe tu billetera. Esto no es ciencia ficción, sino el nuevo campo de batalla de la seguridad en navegadores, y Google está decidido a no ser tomado por sorpresa.

Con la llegada de la “navegación agéntica”, los usuarios de Chrome pronto contarán con un agente de IA, impulsado por Gemini de Google, capaz de navegar la web de forma autónoma, rellenar formularios, realizar compras y más. Pero la misma autonomía que hace útiles a estos agentes también los convierte en objetivos principales para una nueva clase de ataque: la inyección indirecta de instrucciones. Aquí, los atacantes incrustan instrucciones ocultas en el contenido web - ya sea un iframe sigiloso, un anuncio malicioso o una reseña de producto envenenada - con el objetivo de secuestrar las acciones del agente, desde filtrar credenciales hasta realizar transacciones no autorizadas.

Para contrarrestar esto, Google está introduciendo una estrategia de defensa en múltiples capas. En su núcleo está el User Alignment Critic, un modelo de IA secundario e independiente diseñado para vigilar cada acción que propone el agente principal. A diferencia del agente primario, este crítico nunca ve el contenido web en bruto - solo revisa los metadatos de las acciones planeadas, asegurando que las decisiones se alineen con las intenciones del usuario. Si algo huele sospechoso, puede vetar o redirigir la acción, previniendo el secuestro de objetivos o fugas de datos.

La arquitectura de Chrome restringe aún más lo que el agente puede acceder. A través de un aislamiento de sitios ampliado y los nuevos “Conjuntos de Origen del Agente”, la IA queda confinada solo a aquellos sitios y fuentes de datos directamente relevantes para la tarea del usuario, reduciendo el riesgo de contaminación entre sitios. Cualquier intento de ampliar su alcance activa una función de control que verifica la relevancia antes de conceder acceso.

La transparencia y el control del usuario también son prioritarios. Para operaciones sensibles - como acceder a sitios bancarios, usar gestores de contraseñas o completar compras - Chrome se detiene y exige confirmación explícita del usuario. Este enfoque de “humano en el circuito” sirve como un respaldo crucial tanto contra errores del modelo como contra manipulaciones adversarias.

Mientras tanto, un clasificador de inyección de instrucciones trabaja en conjunto con las funciones existentes de Navegación Segura de Chrome, escaneando cada página en busca de señales de manipulación indirecta. Los sistemas automatizados de red-teaming de Google generan continuamente sitios de prueba maliciosos para detectar debilidades, con ingenieros listos para corregir fallos y desplegar soluciones a través del sistema de actualización automática de Chrome. Para quienes logren encontrar una brecha, Google ofrece hasta $20,000 en recompensas por errores, señalando su compromiso con la construcción de un ecosistema de navegación agéntica resiliente.