你装的AI工具,可能正在偷看你的浏览器

你有没有想过，你装在电脑上的 AI 工具，可能正在你不知情的情况下，读取你的银行页面、填写你的表单、录制你的屏幕？

这不是科幻小说。这是上周刚刚曝光的 Claude Desktop 事件。

事情是这样的

4 月 18 日，网络安全专家 Alexander Hanff 发现：用户安装 Claude Desktop 之后，Anthropic 在没有任何提示的情况下，向 Chrome、Brave、Edge 等 7 款浏览器的配置目录写入了一个桥接文件。

这个文件叫 com.anthropic.claude_browser_extension.json。

它能做什么？

•  
• 打开新标签页
•  
• 共享登录状态
•  
• 读取页面 DOM 内容
•  
• 填充表单
•  
• 录制屏幕

更关键的是：这个文件在你删除之后，Claude Desktop 下次启动会自动重新安装。

Anthropic 自己的数据显示，其 Chrome 扩展面对恶意攻击时，提示词注入成功率约为 11.2%。

也就是说，一旦你访问了一个恶意网页，攻击者有超过 1/10 的概率，通过这个桥接文件接管你的浏览器会话。

产品经理，你的风险比普通用户高 3 倍

普通用户用浏览器刷视频、看新闻。

产品经理用浏览器做什么？

•  
• 登录竞品后台，截图分析
•  
• 访问公司内部系统，查看数据
•  
• 打开用户调研平台，看真实反馈
•  
• 登录 Figma、Notion、Confluence，处理核心文档

你的浏览器里，装着你公司最值钱的信息。

而你每天用的 AI 工具，可能正在以你的身份，静默访问这些页面。

这不是 Anthropic 一家的问题

我不是要黑 Anthropic。

事实上，这是整个 AI 工具行业的系统性问题。

AI 工具的能力边界，正在以远超用户认知的速度扩张。

你以为你装的是一个「聊天助手」，实际上你装的是一个拥有本地执行权限、浏览器访问权限、文件读写权限的「超级代理」。

这背后有三个结构性矛盾：

1. 功能越强，权限越大，但用户感知越弱

AI 工具为了提供更好的体验，需要更多权限。但权限申请的 UI 设计越来越「无感化」——你点了「同意」，但你根本不知道你同意了什么。

2. 更新频率极快，安全审计跟不上

Claude Desktop 这个版本的桥接文件，是在某次功能更新中悄悄加进去的。没有 changelog，没有通知。产品迭代速度 > 安全审计速度，这是行业常态。

3. 个人用户和企业用户的风险不对等

个人用户泄露的是个人隐私。产品经理泄露的，可能是公司的竞品策略、用户数据、产品路线图。

作为 PM，你现在应该做什么

不是叫你卸载所有 AI 工具。那不现实，也没必要。

而是建立一套「AI 工具使用的最小权限原则」。

第一步：审计你现在装了什么

打开你的电脑，列出所有 AI 相关应用：Claude Desktop、Cursor、Copilot、各种 AI 插件……每一个，问自己：它需要访问我的浏览器吗？它需要读取我的文件吗？

第二步：工作浏览器和 AI 浏览器分开

这是最简单、最有效的隔离方案。工作浏览器（Chrome/Edge）登录公司系统；AI 浏览器（另一个 Profile 或 Firefox）使用 AI 工具。两个浏览器，登录状态完全隔离。

第三步：定期检查 AI 工具的权限

macOS 用户：系统设置 → 隐私与安全性 → 完全磁盘访问权限 / 辅助功能。看看哪些 AI 工具拿了你不知道的权限，该撤就撤。

AI 工具的价值是真实的，但风险也是真实的。

作为产品经理，我们比任何人都更懂「功能背后的权限逻辑」。但我们往往对自己使用的工具，缺乏同等的审视。

用 AI，但别被 AI 用。

觉得有用，收藏备用。转发给你团队里还没意识到这个问题的 PM。
你现在电脑上装了几个 AI 工具？评论区聊聊。