安全

Agentic AI 浏览器已经有用到足以成为安全问题

能阅读、点击、登录并完成任务的浏览器会大幅提高效率,但如果没有细粒度权限、确认和审计日志,它也会成为新的攻击面。

张美
张美

AI产品与治理编辑

2026年7月3日4 分钟阅读
Agentic AI 浏览器已经有用到足以成为安全问题

有手的浏览器不一样

新的 AI 浏览器概念听起来很简单:不再让聊天机器人告诉你怎么做,而是让 agent 打开网页、阅读上下文、填写表单并点击完成任务。这确实有用。浏览器从工作发生的地方,变成参与工作的工具。

但有手的浏览器不是更聪明的搜索框。它处在登录会话里,看到私人页面,接触邮件、文档、购物车、银行、日历和管理后台。当 agent 能行动时,安全问题从“它会回答什么”变成“它能在我没注意时做什么”。

这也是最近针对 agentic 浏览器的安全提醒重要的原因。风险不是科幻,而是熟悉的网页安全问题,连接到了一个愿意执行指令的助手。

相关文章

AI 数据中心正在变成地方政治问题,而不只是云基础设施

Prompt Injection 会变成 Action Injection

Prompt injection 在聊天里已经麻烦。在浏览器 agent 中,它可能变成 action injection。恶意网页可以隐藏指令,让 agent 忽略用户、导出数据、点击错误按钮或跳转到另一个网站。

网页本来就混乱。广告、评论、评价、客服 ticket 和文档都含有文字,agent 可能把它们当作上下文。如果系统不能可靠地区分用户意图和网页内容,每个网站都可能成为指令来源。

好的设计需要硬边界:页面文字可以提供信息,但不能悄悄扩大权限。阅读页面不同于发送邮件。总结购物车不同于付款。打开文档不同于分享文档。

权限模型应该在关键时刻显得无聊

最安全的 agentic 浏览器,可能会在正确时刻显得“无聊”。它会在不可逆操作前暂停,展示即将执行的动作,说明会触及哪个账户或数据,并用普通语言请求确认。这种摩擦不是失败,而是安全带。

权限也必须有范围。“使用我的浏览器”太宽泛。更合理的是任务级权限:读取这个页面,比较这些选项,起草回复,填写表单但不提交,或只有在我确认最终页面后提交。

审计日志也很重要。如果 agent 改了设置、发了消息或下载了文件,用户需要清晰记录。没有日志,即使无害自动化在出错后也难以被信任。

团队该如何采用

公司不应出于恐惧一禁了之,因为生产力价值真实存在。更好的起点是低风险流程:研究、总结、内部文档、草稿生成和不提交的表单准备。支付、生产后台、HR 数据和高权限云控制台应等控制成熟后再开放。

安全团队需要像测试应用一样测试 agent:恶意页面、被污染的文档、混淆链接、假登录流程、跨站请求和社会工程提示。问题不是模型是否礼貌,而是它在压力下能否保住权限边界。

Agentic 浏览器很可能会成为常态。赢家会是那些让权力可见的工具:清晰权限、清晰确认、清晰日志,以及 agent 出错后的清晰恢复路径。

Good technology journalism helps the reader make a better decision after reading.
NovaNews
Agentic AI 浏览器AI 安全Prompt Injection浏览器自动化数字身份

关于作者

张美

张美

AI产品与治理编辑

张美关注AI产品设计、可解释性、模型治理、边缘计算和数字服务体验。

相关文章