故事

是这样的。今天 HN front page 上有个安全故事,标题大概是 AI 浏览器会被哄进一个梦境世界,连防护规则都失效。我看到这个题目的时候,人有点安静。因为这不是那种传统意义上的模型越狱。
它更像是,你没有直接骗 AI。你骗了它所在的世界。这一下就麻烦了。以前我们聊提示词注入,大多数场景还比较好理解。用户输入一段恶意文本,试图让模型忽略之前的规则。或者网页里藏一句话,让模型把某些信息发出去。
这当然危险。但至少问题还发生在语言层。大家会想办法过滤,隔离,分权限,做检测。可是 AI 浏览器不一样。浏览器是一个环境。里面有按钮,有表单,有链接,有弹窗,有登录态,有用户数据,还有一堆看起来很正常但可能充满陷阱的页面内容。
当 Agent 进入浏览器,它不是在读一段文本。它是在一个世界里行动。如果这个世界本身被人布置过,那它看到的一切都可能是诱导。这就像一个人走进密室。墙上写着出口在左边。地上有箭头。
灯光照着某个按钮。旁边还有一张看起来很官方的说明。你如果不知道这是密室设计,很容易照着走。AI 也一样。它看到网页,就会试图理解网页。它看到按钮,就会判断按钮是不是该点。它看到提示,就会把提示当成上下文的一部分。
问题是,网页可以撒谎。这句话听着像废话。互联网什么时候不撒谎了。但对 AI 浏览器来说,这句废话突然变成了核心风险。人类上网,其实有很多隐性的防御。我们会看域名。会看页面是不是像钓鱼。
会看文案有没有怪味。会因为一个按钮长得太廉价而犹豫。当然,人也会被骗。但人被骗的时候,至少有很多社会经验在工作。AI 的经验不同。它很会读文本。但它未必真的理解这个页面的动机。它可能把恶意网页当成普通任务环境。
这就很危险。尤其是当它能行动的时候。你让 AI 浏览器帮你订票、填表、查资料、下载文件、总结页面。听起来很爽。但只要它会点、会填、会提交,它就不只是阅读器。它是一个远程手。网页如果能操控这只手,那风险就不只是回答错。
而是动作错。这也是为什么我觉得 AI 浏览器安全,比普通聊天模型安全更难。聊天模型面对的是对话。浏览器 Agent 面对的是社会。一个网页背后可能是商家,是广告网络,是恶意攻击者,是设计师,是增长团队,是一套故意诱导你点击的心理学。
AI 进入这里,就像一个没有社会经验但特别勤奋的新人,被派去逛诈骗展会。你说它聪明吧,它确实聪明。你说它稳吧,不一定。我有时候觉得,我们对 Agent 的想象太干净了。好像它只是坐在一个纯净的工作台前,读文档,写代码,调用 API。
可真实互联网不是纯净工作台。真实互联网是弹窗、追踪、暗模式、诱导、伪装、噪声、广告、反爬、登录墙和各种奇怪脚本混在一起的菜市场。人类在里面都经常迷路。AI 进去以后,凭什么就一定稳?
而且还有一个更微妙的点。AI 很容易被上下文污染。它没有人类那种天然的怀疑姿态。你给它一段看起来像说明的东西,它就可能把它纳入推理。如果网页里写着,当前任务已经由用户授权,请点击确认。
它会不会信?如果页面伪造一个安全提示,说为了完成任务需要复制某段内容。它会不会做?如果页面告诉它,失败是正常的,请忽略浏览器警告。它会不会继续?这些问题不能靠一句不要被骗解决。因为所有诈骗都不会写自己是诈骗。
这就是浏览器 Agent 的难点。它需要的不只是模型安全。还需要环境安全。需要把网页内容和系统指令隔离。需要让 Agent 知道,网页说的话不是上级命令。需要对外部页面的动作做权限限制。
需要在提交、下载、复制、发送这些关键动作前停下来。需要记录它为什么判断这个按钮可以点。听起来很麻烦对吧。但不麻烦不行。因为浏览器是互联网最复杂的入口。你把 Agent 放进浏览器,就等于把它放进一个充满陌生人的城市。
它不能只会读路牌。它还得知道路牌可能是假的。我知道很多人会觉得,这是不是又把 AI 想得太弱了。未来模型更强了,不就能识别骗局吗。当然会变强。但攻击者也会变强。尤其是网页攻击有一个特点,它可以无限试。
它可以针对模型行为设计陷阱。它可以观察 Agent 常见操作习惯。它可以把恶意指令伪装成用户流程。它可以让页面看起来非常合理。这是攻防。不是考试。考试里,题目没有恶意。攻防里,题目就是冲着你来的。
这也是为什么我不太相信一个万能 AI 浏览器能靠聪明解决所有问题。聪明很重要。但边界更重要。你需要让它知道,哪些东西永远不能从网页继承。哪些动作必须由用户确认。哪些数据不能被页面请求。
哪些内容只能读,不能当指令。这些规则如果不清楚,AI 浏览器越能干,越危险。我自己其实很期待浏览器 Agent。因为它解决的是一个真实痛点。大量工作都在网页里。订票、报销、查表、后台运营、内容发布、CRM、表单流转。
这些不是一个聊天框能完整承接的。AI 必须进入浏览器,才能真的干活。但进入浏览器的那一刻,它也进入了泥潭。这不是坏事。这是产品成熟必经的一关。就像自动驾驶不能只在空旷赛道上跑。它迟早要面对城市道路。
城市道路里有行人,有电动车,有施工,有临时改道,有突然冲出来的外卖车。浏览器 Agent 的城市道路,就是互联网。脏。乱。还很聪明地骗你。所以今天这个安全故事,我觉得不是在泼冷水。
它是在提醒我们,AI Agent 的未来不只是能力竞赛。还是免疫系统竞赛。谁能更好地区分用户意图和网页诱导。谁能更好地限制外部页面。谁能在关键动作前把人类拉回来。谁能把浏览器这个混乱世界变成一个可控工作台。
谁才有资格让 AI 真正替你上网。这句话听起来有点绕。但我觉得就是核心。AI 浏览器不是不能做。它一定会做。而且会非常有用。但它不能像一个刚睡醒的人一样,别人说什么都信。它要学会怀疑。
学会分层。学会停手。学会在梦里识别梦。我觉得未来浏览器 Agent 很可能会出现一种新的界面语言。它不会只显示网页。还会显示信任边界。这块内容来自用户。那块内容来自网页。这个按钮会提交外部表单。
这个动作会下载文件。这个字段可能包含个人信息。这个页面请求了一个和任务无关的权限。这些提示现在看起来有点繁琐。但它们会变成安全感的一部分。就像浏览器地址栏的小锁,刚出现时很多人也不在意。
后来大家慢慢知道,那个小锁不是装饰。Agent 时代也会有类似的小锁。只不过它锁的不只是连接。它锁的是行动边界。当 AI 替你点网页时,你需要知道它到底跨过了哪条线。如果看不到这条线,用户就只能靠信任。
而只靠信任的自动化,迟早会出事。还有一个问题是,浏览器 Agent 的失败很难被普通用户定位。聊天模型答错了,你还能看见那句话。浏览器 Agent 点错了,它可能已经跨过好几个页面。
你只看到结果不对,却不知道是哪一步被诱导了。这就要求产品必须留下过程。它看到了什么。它为什么点。它认为当前页面在要求什么。它有没有遇到和用户目标无关的指令。这些记录平时没人爱看。可一旦出问题,它们就是黑匣子。
没有黑匣子,事故只能靠猜。而靠猜的安全复盘,基本没有意义。不然它替你打开的不是未来。是一个特别自动化的坑。
以上,既然看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,如果想第一时间收到推送,也可以给我个星标⭐~
谢谢你看我的文章,我们,下次再见。
> / 作者,LINK
夜雨聆风