WebMCP pode ser usado para sequestrar agentes de IA, alerta Chrome
O Google Chrome está alertando os desenvolvedores que as ferramentas WebMCP podem ser usadas para manipular e sequestrar agentes de IA. Novas orientações descrevem como os invasores podem manipular agentes que operam no navegador de um usuário, inclusive em suas sessões autenticadas. O Chrome publicou dois guias, um para desenvolvedores web e outro para desenvolvedores de agentes de IA.
As explorações não são específicas do WebMCP
O aviso contém duas isenções de responsabilidade que explicam que as explorações não são específicas do WebMCP, mas são falhas inerentes aos LLMs e às extensões do Chrome.
A primeira isenção de responsabilidade diz que a ameaça não é exclusiva do WebMCP. O Chrome explica que os agentes de IA podem encontrar informações maliciosas de conteúdo não confiável, mesmo sem o WebMCP, e que o guia identifica técnicas de segurança que são especialmente relevantes quando os agentes usam o WebMCP:
“Embora esta ameaça exista sem o WebMCP, identificamos algumas das técnicas de segurança que são especialmente relevantes para agentes que usam o WebMCP.”
A segunda isenção de responsabilidade explica que as extensões do Chrome com permissões de host podem manipular páginas da web mesmo sem WebMCP:
“As extensões podem usar permissões de host para manipular a página executando JavaScript personalizado, mesmo sem WebMCP.”
O Chrome publicou dois guias de segurança WebMCP relacionados:
- Considerações de segurança de agente para WebMCP, para desenvolvedores de agentes de IA
- e segurança de ferramentas WebMCP, para desenvolvedores que criam ferramentas WebMCP
Juntos, os dois guias fornecem orientações de segurança para riscos de injeção imediata no WebMCP, incluindo riscos que afetam agentes de IA baseados em navegador e as ferramentas que eles usam.
Chrome identifica duas maneiras pelas quais os agentes de IA podem ser sequestrados
De acordo com as orientações de segurança do agente do Chrome, os agentes de IA que usam o WebMCP devem se defender contra dois vetores de ataque principais: manifestos maliciosos e saídas contaminadas.
- Manifesto
Um manifesto é a informação que descreve as ferramentas WebMCP e funções do site para um agente de IA. O manifesto descreve como são chamadas as funções do site, o que fazem e quais entradas aceitam para que os agentes de IA possam descobri-las e usá-las. - Saída Contaminada
Uma saída contaminada é uma informação retornada por uma ferramenta WebMCP que contém instruções maliciosas.
Um malicioso manifesto pode conter ataques de injeção imediata ocultos em nomes, descrições ou parâmetros de ferramentas. Estas instruções foram projetadas para manipular ou sequestrar o comportamento de um agente de IA.
O segundo vetor de ataque, saídas contaminadassão informações retornadas por uma ferramenta WebMCP que contém instruções maliciosas. O Chrome alerta que mesmo ferramentas confiáveis podem retornar resultados contaminados quando incluem conteúdo de terceiros, como comentários de usuários, análises, postagens em fóruns ou outros dados fornecidos externamente.
Esses ataques funcionam porque grandes modelos de linguagem processam instruções e dados juntos. Um modelo pode não distinguir com segurança entre a solicitação de um usuário e as instruções maliciosas ocultas no conteúdo que ele consome. O Chrome descreve isso como injeção indireta imediata e observa que a prevalência desses ataques na web está aumentando.
O Chrome afirma que os modelos de IA não podem interromper a injeção de prompt de maneira confiável
A orientação de segurança do agente afirma:
“Os LLMs tratam todos os textos, instruções e dados do usuário como uma única sequência de tokens. Isso significa que eles são suscetíveis à injeção imediata indireta, uma inclusão de instruções maliciosas por um invasor. Embora alguns modelos incluam camadas de segurança contra injeção imediata, a natureza probabilística dos LLMs torna impossível garantir a segurança dentro do próprio modelo.
Pesquisadores de segurança demonstraram repetidamente ataques de injeção imediata contra sistemas agentes que usam LLMs de última geração, e a prevalência de ataques na web está aumentando.”
O Chrome também aponta repetidas demonstrações de ataques de injeção imediata contra sistemas agentes e cita o aumento da atividade de injeção imediata na web.
Chrome recomenda controles de segurança em camadas
Em vez de confiar no modelo para reconhecer instruções maliciosas, o Chrome recomenda uma estratégia de defesa profunda que combina controles determinísticos com salvaguardas probabilísticas. Neste contexto, determinístico significa proteções previsíveis, baseadas em regras e binárias.
Entre os controles determinísticos recomendados pelo Chrome estão:
- Definir limites de token nas respostas da ferramenta
- Restringindo interações entre origens
- Exigir confirmação do usuário antes de ações serem executadas
- Reconhecer e lidar com conteúdo marcado como não confiável
O Chrome também afirma que limitar as origens da web com as quais um agente pode interagir pode reduzir as oportunidades de ações não autorizadas e exfiltração de dados, especialmente quando os agentes operam dentro de sessões de usuários autenticados.
A orientação também enfatiza manter os humanos informados e tratar as ferramentas WebMCP como capazes de modificar o estado, a menos que sejam explicitamente identificadas como somente leitura.
Para proteção adicional, o Chrome recomenda técnicas como destacar conteúdo não confiável, classificadores de injeção imediata que verificam descrições e resultados de ferramentas e modelos “críticos” secundários que avaliam chamadas de ferramentas planejadas antes da execução.
Orientação para desenvolvedores de ferramentas WebMCP
A orientação de segurança de ferramentas concentra-se em desenvolvedores que criam sites e aplicativos que expõem ferramentas WebMCP a agentes de IA.
O Chrome recomenda o uso de dicas de anotação que ajudam os agentes a entender como a saída da ferramenta deve ser tratada. Um exemplo é untrustedContentHint, que pode ser aplicado quando uma ferramenta retorna conteúdo gerado pelo usuário ou informações de origem externa. De acordo com o Chrome, a dica sinaliza que a saída deve receber um exame mais minucioso.
Os desenvolvedores também são incentivados a usar readOnlyHint para ferramentas que não modificam o estado, ajudando os agentes a tomar melhores decisões sobre quando a confirmação do usuário é necessária.
A implementação do Chrome permite que os desenvolvedores especifiquem origens confiáveis por meio de uma configuração exposta, limitando o acesso a sites aprovados. A orientação observa que mesmo ferramentas somente leitura podem revelar informações do usuário e só devem ser compartilhadas com fontes confiáveis.
Remover
O aspecto mais notável da orientação não são as recomendações de segurança individuais, mas o reconhecimento do Chrome de que a injeção imediata continua sendo um desafio fundamental para os agentes de IA.
Em vez de apresentar melhorias no modelo como solução, a orientação do Chrome pressupõe que os invasores conseguirão colocar instruções maliciosas em descrições de ferramentas, saídas de ferramentas e conteúdo de terceiros. A resposta recomendada é uma arquitetura de segurança em camadas que combine controles de acesso, isolamento de conteúdo, supervisão humana, monitoramento e sistemas de validação independentes.
A orientação do Chrome trata a segurança do agente de IA como uma responsabilidade compartilhada entre desenvolvedores de agentes e desenvolvedores de ferramentas em todo o ecossistema WebMCP
Imagem em destaque por Shutterstock/A9 STUDIO
