Agentic AI, kunstmatige intelligentie die zelfstandig complexe taken kan uitvoeren, wordt gezien als de toekomst van de technologie. Verschillende bedrijven werken aan browsers en besturingssystemen die deze functionaliteit ingebouwd hebben. Ze hebben echter ook een grote kwetsbaarheid: prompt injection. Deze week heeft Google een blog gepubliceerd waarin uiteengezet wordt hoe gebruikers van Chrome tegen prompt injection beschermd kunnen worden.
Prompt injection is een vorm van cybercriminaliteit waarbij kwaadwillenden in de tekst, afbeeldingen of broncode van een website instructies verstoppen. Als deze instructies door een AI-browser gelezen en gevolgd worden, kan de browser bijvoorbeeld persoonlijke gegevens delen of aanvallers toegang geven tot accounts of systemen. Ook producenten van agentic AI waarschuwen hiervoor. Zo meldde Microsoft drie weken geleden dat gebruikers van de nieuwe agentic functies die ontwikkeld worden voor Windows 11 alert zullen moeten blijven omdat het systeem bijvoorbeeld malware kan installeren.
Ook Google wil meer agentic AI-functionaliteit introduceren in de Chrome browser. Deze functionaliteit draait op Gemini, de AI van Google. Om gebruikers gerust te stellen heeft Google nu een blog gepubliceerd met daarin een aantal manieren waarop het functioneren van Gemini binnen de context van het uitvoeren van agentic browser-taken ingeperkt wordt. Op deze manier moet voorkomen worden dat cybercriminelen prompt injection kunnen gebruiken voor fraude of andere vormen van digitale criminaliteit.
Extra ogen
Centraal hierbij staat de zogenaamde User Alignment Critic. Dit is een nieuw AI-model dat dient als extra ogen op het werk dat de agentic AI wil uitvoeren. Dit model staat compleet los van het Gemini-model dat de taak uitvoert. Dit moet voorkomen dat Gemini malafide prompts oppikt en uitvoert in het voltooien van door de gebruiker gestelde taken.
Voordat een taak wordt uitgevoerd genereert Gemini eerst een stappenplan, waarbij het ook stelt welke bronnen en informatie gebruikt zijn om beslissingen te maken. De User Alignment Critic loopt eerst deze lijst af. Vervolgens besluit het model of dit stappenplan voldoet om de door de gebruiker gegeven opdracht te gegeven, en of dit op een veilige manier gedaan wordt. Is het antwoord hierop nee, dan krijgt Gemini de opdracht om een nieuw stappenplan te genereren. Als het stappenplan meerdere keren niet door de controle van de User Alignment Critic komt, dan wordt een signaal naar de gebruiker gestuurd.
Isolatie
Een andere belangrijke veiligheidsmaatregel is het isoleren van gegevens waartoe Gemini toegang heeft. Dit houdt in dat bij het opstellen van het stappenplan om een taak uit te voeren alleen gekeken mag worden naar informatie van betrouwbare bronnen die gerelateerd zijn aan de door de gebruiker gestelde opdracht. Ook hier werkt de User Alignment Critic als filter. Bij een nog niet eerder gebruikte informatiebron beoordeelt de Critic of deze aansluit bij het doel van de opdracht en uit een betrouwbare bron komt. Zo nee, dan wordt Gemini niet toegestaan om taken uit te voeren op basis van input uit deze bronnen.
Ook wordt op bepaalde momenten de gebruiker standaard aan het jasje getrokken, en zullen bepaalde taken niet uitgevoerd kunnen worden zonder dat de gebruiker eerst gevraagd wordt om bevestiging. Zo zal Gemini de gebruiker altijd waarschuwen wanneer het terechtkomt in een omgeving waar vertrouwelijke informatie bewaard wordt, zoals banktransacties of medische gegevens. Dit wordt deterministisch gedaan, vanuit een database van bekende websites. Dit betekent bijvoorbeeld dat wanneer de gebruiker Gemini vraagt om een aankoop te doen, het systeem expliciet aan de gebruiker zal vragen om de aankoop te bevestigen.
Ook wachtwoorden zullen worden geïsoleerd. Gemini zal geen directe toegang krijgen tot wachtwoorden van gebruikers. Dit geldt ook voor wachtwoorden die opgeslagen zijn in Google Password Manager. Gemini zal altijd toestemming vragen voordat het een wachtwoord invoert, en het zal het wachtwoord na gebruik weer 'vergeten' worden. Op die manier kan Gemini niet gebruikt worden om inloggegevens van gebruikers te stelen.
Menselijke factor
Google geeft aan dat de kern van hun strategie rondom het veilig gebruik van agentic AI draait om een combinatie van kunstmatige intelligentie en het inzetten van menselijke middelen. Het gaat hierbij niet alleen om input van de gebruiker, maar ook om het constant bijhouden van ontwikkelingen op het gebied van cybercriminaliteit. Het updatesysteem van Chrome zal gebruikt worden om te zorgen dat zowel Gemini als de User Alignment Critic de meest recente informatie hebben om dreigingen te omzeilen.
Hoewel agentic AI in de toekomst veel taken zal automatiseren, blijft het belangrijk om menselijke ogen op het uitvoeren van deze taken te houden. Dat blijkt ook uit de eerdere waarschuwingen van Microsoft. Ook Google zal menselijke controle als basis van veilig gebruik van agentic AI houden, voornamelijk door gebruikers te dwingen om bepaalde handelingen te bevestigen. Op deze manier moet worden voorkomen dat cybercriminelen de AI om de tuin kunnen leiden en schadelijke handelingen uit te laten voeren.