AI 浏览器智能体拿到网页钥匙之前，必须先有安全带

摘要

下一代 AI 不会只停留在聊天框里。它会进入浏览器，读取页面，比较选项，填写表单，总结邮件，并在已经保存个人或公司数据的系统之间移动。这很强大，但风险也因此改变。

提示词注入过去听起来像一种奇怪的模型技巧：把隐藏指令放进网页、邮件或文档，希望 AI 照做。可是一旦智能体拥有浏览器能力，并处在用户已经登录的会话中，同样的问题就可能变成真实操作风险。恶意页面可能诱导智能体泄露信息、点击危险按钮、忽略策略或执行用户并不想要的动作。

答案不是停止建设智能体，而是在给它网页钥匙之前先装上安全带。安全的产品会把智能体视为被委托的操作员：权限有限、动作可见、日志可审计，并且清楚区分它能读取什么、能建议什么、能真正执行什么。

正文

每一次重要的界面变化都会创造新的安全边界。浏览器在网站和本地设备之间建立边界，移动应用在权限和传感器之间建立边界，云软件在身份、角色和 API 之间建立边界。AI 智能体现在建立的是人类意图和自动执行之间的边界，而这条边界还不成熟。

风险容易被低估，因为智能体看上去通常很礼貌。它会用完整句子回答，解释计划，有时还会请求确认。但在界面之下，浏览器智能体可能正在阅读不可信网页，解释隐藏内容，保留上一个任务的上下文，并在用户已经登录的环境里操作。恶意指令一旦进入这个环境，就可能影响智能体的决策过程。

这就是为什么提示词注入在智能体场景里比普通聊天更严重。如果聊天机器人错误总结了恶意页面，损害可能只是误导。如果拥有浏览器权限的智能体听从了恶意指令，损害可能变成行动：发送消息、修改设置、下载文件、暴露私有上下文，或批准某个流程。模型不再只是生成文本，而是在触碰系统。

更安全的设计模式是分离。读取可以宽一些，执行必须窄一些。好的智能体可以检查页面、总结风险并建议下一步。但它不应该悄悄完成账号变更、付款、文件上传、权限调整或对外消息发送。这类动作需要更高信任级别、清晰的人类确认，以及事后可审计的记录。

企业也不应该把浏览器智能体当作魔法实习生。它需要身份范围。客服智能体不应该继承整个浏览器会话，财务智能体不应该访问私人邮箱，研究智能体不应该在任务结束后保留机密材料。工具访问应该按任务授予，而不是按产品演示的兴奋程度授予。

用户体验同样关键。如果每个动作都弹出恐怖警告，用户会学会忽略警告。如果完全没有摩擦，产品就会变得鲁莽。正确模式是情境化摩擦：低风险读取保持顺畅，中风险变更需要复核，高风险操作需要明确确认，展示将发生什么、在哪里发生、使用哪个身份。

安全团队需要能够解释智能体路径的日志：读取了哪些页面、调用了哪些工具、收到哪些提示、使用哪个模型版本、用了哪些权限、最终动作是什么。没有这些记录，事故响应就会变成猜测。有了记录，团队才能复盘失败、调整策略，并证明敏感动作是否被授权。

智能体时代的赢家不会只是让智能体点击得最快的公司，而是让委托执行变得可信的公司。浏览器智能体应该有帮助，但它的行为应该像明亮控制室里的谨慎操作员，而不是拿着整栋楼钥匙的陌生人。