ブラウザの中で動くAIエージェントが、リンクを開くだけでなく「あなたの代わりに判断し、行動する」存在になりつつあります。
そのとき、パスワードやクレジットカード情報を託してもいいと思えるだけのセキュリティ設計とは、どんな姿なのでしょうか。
2025年12月8日、GoogleのNathan Parkerが、Gemini in Chromeによるagentic capabilitiesのセキュリティ設計を公表した。Chromeは間接プロンプトインジェクションを主要な新たな脅威と位置づけ、Geminiの既存の保護機能やagent security principlesを基盤に多層防御を構築している。
その中核として、User Alignment Criticという別モデルが各アクションのタスク整合性を検証し、必要に応じて拒否する役割を担う。また、Site Isolationとsame-origin policyを拡張したAgent Origin Setsにより、read-only originsとread-writable originsを分離し、エージェントがアクセス・操作できるオリジンをタスク関連の範囲に限定する。
さらに、銀行や医療などの敏感なサイト、Google Password Managerによるサインイン、支払い・メッセージ送信といった行為の前にはユーザー確認を要求する。ChromeはSafe BrowsingやオンデバイスAIと組み合わせて間接プロンプトインジェクションを検知し、レッドチーミングと最大20,000ドルのVulnerability Rewards Programで継続的に防御精度を検証している。
From: 
Architecting Security for Agentic Capabilities in Chrome
【編集部解説】
Chromeが今回示したのは、「ブラウザに常駐するAIエージェントをインフラレベルでどう守るか」という設計図です。Safe Browsingの延長ではなく、ユーザーの代わりにクリックし、入力し、ときに決済まで関わる前提で、アーキテクチャを組み替えている点がポイントだと感じます。
中核となるUser Alignment Criticは、Geminiのプランニングとは別の高信頼コンポーネントとして設計されており、「このアクションはユーザーのゴールに本当に沿っているか」だけを判定します。生のWebコンテンツではなくメタデータだけを見る構造にすることで、間接プロンプトインジェクションによる“汚染”を受けにくくしているのが特徴です。
Agent Origin Setsは、same-origin policyやSite Isolationといった従来の境界を、エージェント時代に合わせて再定義したものと言えます。タスク単位で「読み取り専用」と「読み書き可能」のoriginを分け、そこからはみ出したサイトやツールにはそもそも触れさせないことで、ログイン済みタブからの情報抜き取りや意図しない操作を物理的に絞り込んでいます。
ユーザー体験の面では、エージェントの行動ログが逐一可視化され、支払い・医療・ログインなどの高リスクなステップでは、モデル任せにせず必ずユーザーに確認が返ってきます。どれだけモデルが高性能になっても、最後の一線は人間の意思に戻す、という割り切りが見て取れます。
同時に、Google自身も「これで完璧」とは考えておらず、LLMを使った自動レッドチーミングと、最大20,000ドルの報奨金を用意したVulnerability Rewards Programで、常に抜け道を探し続ける前提に立っています。これは、独自エージェントを実装するブラウザやSaaSに対しても、「多層防御+継続検証サイクル」が新たな標準になることを示唆しているように思えます。
innovaTopiaの読者にとって実務的に重要なのは、このアーキテクチャがそのまま「自分たちのエージェント設計パターン」として参考になる点です。モデル本体とは別にアクション審査のレイヤーを用意する発想や、タスクごとの権限スコープ設計、支払い・ログイン前のユーザー確認フローなどは、自社プロダクトへも持ち込める具体的なヒントになるでしょう。
長期的には、こうしたクライアント側の安全設計が積み重なるほど、「ブラウザ=個人のAIオペレーティングレイヤー」という世界観が現実味を帯びてきます。その一方で、エージェントが金融・医療・ID管理に深く関与するほど、どのレイヤーにどこまでガードレールを義務づけるかという、新しい規制の議論も避けて通れなくなりそうです。
【用語解説】
User Alignment Critic
Geminiのプランニングモデルが提案した各アクションを、ユーザーの目的と整合しているか判定し、必要に応じて拒否するための別モデルによる検査機構のこと。
Indirect Prompt Injection
Webページやユーザー生成コンテンツに埋め込まれたテキストを通じて、エージェントの指示や振る舞いを意図せず書き換える攻撃手法の総称。
Agent Origin Sets
タスクごとに、エージェントが読み取りのみ許可されるoriginと、読み書きが許可されるoriginを分離して管理するためのChrome独自の権限スコープ設計のこと。
Read-only origins / Read-writable origins
Geminiがコンテンツを閲覧するだけ許可されるoriginと、クリックや入力などの操作も可能なoriginを区別して扱う概念であり、クロスオリジンのデータ漏えいリスクを抑制する狙いがある。
Gating function
タスクにとって関連性のあるoriginやツールかどうかを判定し、Agent Origin Setsに追加するかどうかを決めるための判定コンポーネント。
Site Isolation
Chromeが異なるサイトをプロセスごとに分離し、レンダラ境界を越えた攻撃やデータアクセスを難しくするためのブラウザセキュリティ機構の総称。
Same-origin policy
スクリプトなどがアクセス可能なデータを「同一スキーム・ホスト・ポート」の組み合わせに制限する、Webの基本的なセキュリティポリシー。
Safe Browsing
フィッシングサイトやマルウェア配布サイトなどへのアクセスを検出・警告するためにGoogleが提供しているURL・コンテンツ評価基盤の名称。
Red-teaming
攻撃者役のチームが意図的にシステムを攻撃し、脆弱性や運用上の抜けを洗い出すためのセキュリティ検証手法のこと。
Vulnerability Rewards Program (VRP)
セキュリティ研究者が見つけた脆弱性の報告に対して報奨金を支払うバグバウンティ制度の総称であり、Chrome向けには最大20,000ドルの支払いが定められている。
【参考リンク】
Google Chrome(外部)
Googleが提供するWebブラウザで、Safe BrowsingやSite Isolation、Gemini連携など多層のセキュリティ機能を備える。
Gemini(外部)
Google DeepMindが開発するマルチモーダル大規模モデル群で、Gemini in Chromeとしてブラウザ上のエージェント機能にも利用されている。
Google Safe Browsing(外部)
悪意あるサイトや危険なコンテンツを検出し、Chromeなどのブラウザからの安全な閲覧を支援するためのセキュリティ基盤サービスである。
【参考動画】
【参考記事】
Advancing Gemini’s security safeguards(外部)
Geminiモデルに対するコンテンツフィルタリングやred-teaming、prompt injection対策など、AI安全性向上の取り組みを概説した技術ブログ。
Mitigating prompt injection attacks(外部)
prompt injectionおよび間接prompt injectionの脅威モデルと、それに対抗するclassifierやspotlightingなどの防御手法を整理した解説記事。
Agent Security Principles for AI Systems(外部)
AIエージェント設計における権限スコープや監査可能性、ユーザーコントロールなど、高レベルなセキュリティ原則とベストプラクティスをまとめた技術レポート。
【編集部後記】
ブラウザの中に「自分の代わりに動くAIエージェント」が入ってくる時代に、どこまで権限を預けるか、どこからは自分で握っておきたいか、今回のChromeの動きは、その線引きをあらためて考えるきっかけになりそうです。
もしあなたが、プロダクトや業務フローの中でAIエージェントを使うとしたら、「User Alignment Critic」や「Origin Sets」のような仕組みを、どこにどう組み込みたいでしょうか。次にブラウザを開いたとき、「このタブをAIに任せても大丈夫か?」と一度立ち止まってみると、新しい設計のヒントが見えてくるかもしれません。
