O Google Chrome está alertando os desenvolvedores de que ferramentas WebMCP podem ser usadas para manipular e sequestrar agentes de IA. Novas orientações descrevem como atacantes podem manipular agentes que operam no navegador de um usuário, incluindo dentro de suas sessões autenticadas. O Chrome publicou dois guias, um para desenvolvedores web e outro para desenvolvedores de agentes de IA.
Explorações Não São Específicas Para WebMCP
O aviso tem dois avisos que explicam que as explorações não são específicas para WebMCP, mas são falhas inerentes aos LLMs e extensões do Chrome.
O primeiro aviso diz que a ameaça não é única para WebMCP. O Chrome explica que agentes de IA podem encontrar entradas maliciosas de conteúdo não confiável mesmo sem WebMCP, e que o guia identifica técnicas de segurança que são especialmente relevantes quando agentes usam WebMCP:
“Embora essa ameaça exista sem o WebMCP, identificamos algumas das técnicas de segurança que são especialmente relevantes para agentes que usam WebMCP.”
O segundo aviso explica que extensões do Chrome com permissões de host podem manipular páginas da web mesmo sem WebMCP:
“Extensões podem usar permissões de host para manipular a página executando JavaScript personalizado, mesmo sem WebMCP.”
O Chrome publicou dois guias de segurança relacionados ao WebMCP:
- Considerações de segurança para agentes do WebMCP, para desenvolvedores de agentes de IA
- e segurança de ferramentas WebMCP, para desenvolvedores que constroem ferramentas WebMCP
Juntos, os dois guias fornecem orientações de segurança para riscos de injeção de prompt no WebMCP, incluindo riscos que afetam agentes de IA baseados em navegador e as ferramentas que eles usam.
Chrome Identifica Duas Maneiras de Sequestrar Agentes de IA
De acordo com as orientações de segurança do agente do Chrome, agentes de IA que usam WebMCP devem se defender contra dois vetores de ataque principais: manifests maliciosos e saídas contaminadas.
- Manifesto
Um manifesto é a informação que descreve ferramentas WebMCP e funções do site para um agente de IA. O manifesto descreve quais são as funções do site, o que elas fazem e quais entradas aceitam para que os agentes de IA possam descobri-las e usá-las. - Saída Contaminada
Uma saída contaminada é a informação retornada por uma ferramenta WebMCP que contém instruções maliciosas.
Um manifesto malicioso pode conter ataques de injeção de prompt ocultos em nomes de ferramentas, descrições ou parâmetros. Essas instruções são projetadas para manipular ou sequestrar o comportamento de um agente de IA.
O segundo vetor de ataque, saídas contaminadas, é a informação retornada por uma ferramenta WebMCP que contém instruções maliciosas. O Chrome alerta que até mesmo ferramentas confiáveis podem retornar saídas contaminadas quando incluem conteúdo de terceiros, como comentários de usuários, avaliações, postagens em fóruns ou outros dados fornecidos externamente.
Esses ataques funcionam porque grandes modelos de linguagem processam instruções e dados juntos. Um modelo pode não distinguir de forma confiável entre um pedido de um usuário e instruções maliciosas ocultas dentro do conteúdo que consome. O Chrome descreve isso como injeção de prompt indireta e observa que a prevalência desses ataques na web está aumentando.
Chrome Diz Que Modelos de IA Não Podem Parar Confiavelmente a Injeção de Prompt
As orientações de segurança do agente afirmam:
“Os LLMs tratam todo texto, instruções e dados do usuário como uma única sequência de tokens. Isso significa que eles são suscetíveis à injeção de prompt indireta, uma inclusão de instruções maliciosas por um atacante. Embora alguns modelos incluam camadas de segurança contra injeção de prompt, a natureza probabilística dos LLMs torna impossível garantir segurança dentro do próprio modelo.
Pesquisadores de segurança demonstraram repetidamente ataques de injeção de prompt contra sistemas agentes que usam LLMs de última geração, e a prevalência de ataques na web está aumentando.”
O Chrome também aponta para demonstrações repetidas de ataques de injeção de prompt contra sistemas agentes e cita a crescente atividade de injeção de prompt na web.
Chrome Recomenda Controles de Segurança em Camadas
Em vez de confiar no modelo para reconhecer instruções maliciosas, o Chrome recomenda uma estratégia de defesa em profundidade que combina controles determinísticos com salvaguardas probabilísticas. Nesse contexto, determinístico significa previsível, baseado em regras e barreiras binárias.
Entre os controles determinísticos que o Chrome recomenda estão:
- Definir limites de tokens nas respostas das ferramentas
- Restringir interações entre origens cruzadas
- Exigir confirmação do usuário antes que ações sejam tomadas
- Reconhecer e lidar com conteúdo marcado como não confiável
O Chrome também afirma que limitar as origens da web com as quais um agente pode interagir pode reduzir as oportunidades para ações não autorizadas e exfiltração de dados, particularmente quando os agentes operam dentro de sessões autenticadas de usuários.
As orientações também enfatizam manter humanos no processo e tratar ferramentas WebMCP como capazes de modificar o estado, a menos que sejam explicitamente identificadas como somente leitura.
Para proteção adicional, o Chrome recomenda técnicas como destacar conteúdo não confiável, classificadores de injeção de prompt que analisam descrições e saídas de ferramentas, e modelos secundários "críticos" que avaliam chamadas de ferramentas planejadas antes da execução.
Orientações Para Desenvolvedores de Ferramentas WebMCP
As orientações de segurança para ferramentas se concentram em desenvolvedores que constroem sites e aplicativos que expõem ferramentas WebMCP a agentes de IA.
O Chrome recomenda usar dicas de anotação que ajudam os agentes a entender como a saída da ferramenta deve ser tratada. Um exemplo é untrustedContentHint, que pode ser aplicado quando uma ferramenta retorna conteúdo gerado pelo usuário ou informações de fontes externas. De acordo com o Chrome, a dica sinaliza que a saída deve receber uma análise adicional.
Os desenvolvedores também são incentivados a usar readOnlyHint para ferramentas que não modificam o estado, ajudando os agentes a tomar melhores decisões sobre quando a confirmação do usuário é necessária.
A implementação do Chrome permite que os desenvolvedores especifiquem origens confiáveis por meio de uma configuração exposedTo, limitando o acesso a sites aprovados. As orientações observam que até mesmo ferramentas somente leitura podem revelar informações do usuário e devem ser compartilhadas apenas com origens confiáveis.
Conclusão
O aspecto mais notável das orientações não são as recomendações de segurança individuais, mas o reconhecimento do Chrome de que a injeção de prompt continua sendo um desafio fundamental para agentes de IA.
Em vez de apresentar melhorias no modelo como a solução, as orientações do Chrome assumem que os atacantes terão sucesso em colocar instruções maliciosas nas descrições das ferramentas, saídas das ferramentas e conteúdo de terceiros. A resposta recomendada é uma arquitetura de segurança em camadas que combina controles de acesso, isolamento de conteúdo, supervisão humana, monitoramento e sistemas de validação independentes.
As orientações do Chrome tratam a segurança do agente de IA como uma responsabilidade compartilhada entre desenvolvedores de agentes e desenvolvedores de ferramentas em todo o ecossistema WebMCP
Imagem em Destaque por Shutterstock/A9 STUDIO
