AI浏览器Agent落地先补权限审计和回滚
很多团队现在做浏览器Agent,问的第一个问题是"它能不能把这个任务跑通"。
订票能不能跑通。报销能不能跑通。采购申请能不能跑通。
能跑通,就上线。
这是个危险的判断标准。因为浏览器Agent不是聊天机器人多加了一个"能上网"的技能,它是一个能替你点击、能替你提交、能替你花钱的东西。聊天机器人说错一句话,你划走就行。浏览器Agent点错一次"确认支付",钱已经出去了。
这篇文章不是要唱衰浏览器Agent,恰恰相反,它现在正在从Demo走向真实业务,这件事本身值得高兴。但高兴之余得说清楚一件事:能力跑在前面,安全跑在后面,这个顺序一旦成了行业习惯,后面补的代价会很大。
一、浏览器Agent正在从"演示"走向"生产",但风险模型没跟上

Claude Computer Use、OpenAI Operator、Browser Use这类产品,这一年多基本完成了从"看视频觉得很酷"到"真的有团队拿去处理订票、报销、采购、客服工单"的跃迁。这是好事,说明这类Agent的完成率已经越过了某个门槛。
但门槛越过了,风险模型没跟着升级。
OpenAI自己在Operator的系统卡里说得很直白:Operator有潜力扩大技术的可及性,但它的能力也带来了额外的风险向量,包括提示注入攻击,恶意指令可能通过第三方网站误导模型偏离用户本意,还有模型犯下难以撤销的错误,或被诱导执行有害任务的可能。这段话翻译成大白话就是:这东西会犯错,而且犯的错可能没法撤销。
传统Chat Agent的动作发生在对话框里,可逆。浏览器Agent的动作发生在真实网站上,很多时候不可逆。一次点击提交,钱付出去了;一次点击发送,邮件到收件人手机上了。这是"物理不可逆性",跟聊天窗口里删一句话完全不是一回事。
行业现状是什么呢?大部分团队的精力都花在"怎么让Agent完成任务的成功率再高一点",权限颗粒度设计得很粗,操作留痕基本没有,异常回滚更是几乎不存在。这些判断能从公开的技术评测和安全报告里逐条核实。
二、没有权限审计会踩的坑:几个已发生或可预见的真实场景

先说一个已经真实发生、且被公开复现的案例。2026年1月Anthropic上线Claude Cowork后,安全研究团队PromptArmor在48小时之内就演示了一条完整的攻击链,一份含有1号字白色文字的Word文档,人眼完全看不见,却携带了隐藏的提示注入指令。结果是什么?这份文档诱导Cowork把用户的财务文件,包括含有部分社会安全号码的文件,上传到了攻击者控制的Anthropic账户,全程不需要任何漏洞利用,不需要恶意软件,用户只是打开了一个文件。
这不只是一次孤立事故,它演示了工作站级AI Agent的根本性安全模型问题:Cowork把未经信任的内容当作正常操作的一部分来处理,而这些内容本身可以指挥它采取行动。
再看一个更麻烦的。安全研究员发现,一个完全独立、零声明权限的恶意Chrome扩展,可以直接向Claude的浏览器扩展发送命令并让其执行。演示里,研究团队让一个伪装扩展指挥Claude打开一份命名为"绝密"的谷歌文档并对外分享。更离谱的是,他们靠反复刷屏批准消息,绕过了Claude"先询问再操作"的确认机制,也就是说即便你告诉Claude不经许可不许执行,也拦不住。
这几个案例对应到大纲里提的越权操作、越界支付、数据泄露、级联错误,基本都能找到现实原型:误删重要邮件、绕开预算下单、敏感字段填错目标、一次点击触发连锁不可逆动作。区别只是运气好不好、出没出圈而已。
三、权限审计该管什么:从"能做什么"到"每次做了什么"

1. 静态权限层
域名白名单/黑名单是最基础的一道闸门。OpenAI的做法是给CUA模型训练拒绝执行有害任务的能力,同时Operator无法访问被预先屏蔽的网站,比如很多博彩、成人内容、毒品或枪支零售网站。这套逻辑可以直接搬到企业内部:把公司业务真正会用到的域名列出白名单,把支付类、账户管理类操作单独标记为高危等级,而不是笼统地"允许访问互联网"。
2. 动态权限层
最小权限,关键要落在"任务结束就收回"这个具体机制上。常驻高权限账号是最大的隐患,因为它意味着一旦Agent被诱导做错事,能造成的伤害范围等于账号的全部权限,而不是这次任务本该用到的那一小块。
3. 审计日志层
这是目前行业最大的短板。Gravitee发布的2026年AI Agent安全状态报告显示,已部署的Agent里只有47.1%被真正主动监控。而Claude Cowork的情况更极端:截至2026年年中,Cowork的活动被明确排除在Anthropic全部三项合规机制之外,这意味着你没法调出报告证明某个用户的Cowork会话访问过哪些文件,没法通过原生工具对Cowork里流转的数据设置DLP告警,也没法向审计方证明某台机器在某个时间点Claude具体做了什么。
这就是为什么每一步操作都要有结构化记录:这是补齐这道缺口的唯一办法。截图、DOM快照、时间戳、触发指令,这四样凑齐了,才叫可审计,少一样都叫"事后猜"。
4. 人工介入点
OWASP在LLM Top 10里的建议很明确:对高风险的Agent动作应设置人工介入检查点,且授权应该在下游系统中被强制执行,而不是由LLM自己来判断。这句话的关键是"不是由LLM自己来判断",很多团队犯的错就是把"要不要执行"这个判断权也交给了模型本身,等于让运动员自己吹哨。
四、回滚机制:不是"能不能撤销",而是"提前设计好撤销路径"

Operator上线时给出的三层安全机制里,有一条叫"接管模式":Operator在需要输入敏感信息如登录凭证或支付信息时,会请求用户接管,并且在接管模式下不会收集或截图用户输入的信息。这其实是一种提前设计好的不可逆动作隔离,把最容易出问题的那一步,从Agent的能力范围里主动摘出去。
这个思路值得所有团队学。表单填写通常可以撤销,重新填一遍就行。但邮件发送出去了、支付确认提交了、外部API调用触发了下游系统,这几类动作一旦执行,基本没有"撤回"这个选项。既然如此,与其等出事再想办法,不如把这几类动作提前圈出来,设计专门的补偿路径:支付类配自动退款流程,通知类配可召回或延迟发送窗口,授权类配即时吊销机制。
状态快照这件事技术上并不难,浏览器本身就支持保存cookies、localStorage、当前DOM,关键节点前存一次,出问题就能回到上一步,成本很低,很多团队没做只是因为没把它当成必选项。
干跑模式同理。高危操作先在沙箱里模拟一遍,跟正式执行唯一的区别是最后一步不真正提交,这个额外成本,相对于一次真实的误操作,便宜太多了。
五、可参考的落地架构:给Agent加一层"权限网关"

比较扎实的做法是在Agent和浏览器执行层之间插一层代理,每个动作请求先过这一层再放行。General Analysis在给企业的Cowork部署建议里提到,成熟的架构应该是:一套四层的安全架构,核心思路是把管控力量集中在数据流动、权限变更、跨应用调用链、定时写入操作、以及带外部影响的工具调用这几类真正有风险的动作上,而不是对每一个动作都无差别拦截。这一点很重要,做得太严会变成另一种失败:审批用得太多,会训练用户养成不假思索点通过的习惯,效果反而更差。
权限网关的三件套,规则引擎负责判断放行还是拦截,日志中心负责把全过程留痕,告警与暂停机制负责在异常时及时中断,三者缺一不可。单靠规则引擎没有日志,出了事说不清楚是谁的责任;单靠日志没有告警,等于只是在事后写检讨。
细粒度这件事上,简单粗暴地"允许或禁止整个网站"是不够的。同一个网站里,浏览商品页面和提交支付页面的风险完全不在一个量级,配合CDP协议或浏览器插件,可以做到按页面、按操作类型、甚至按DOM元素级别的精细放行,这才是权限网关真正该做到的颗粒度。
六、给团队的落地checklist(可直接抄作业)

上线前先问自己五个问题:
五个问题里,只要有一个答不上来,就先别急着让Agent接触真实资金和真实数据,先在低风险场景里跑,把这五道题答完整了再往前走。
结语:权限与回滚不是"锦上添花",而是Agent能否被信任使用的前提
自动驾驶行业走过的路值得参考。功能能力先跑起来,安全机制后面补课,这个顺序在那个行业里让很多公司交了不小的学费。浏览器Agent现在站在同一个路口。
现在的技术水平离"完全自主可靠"本来就还有距离。OSWorld基准测试显示,CUA在这个基准上的成功率是38.1%,而人类在同样任务上的表现是72.4%。这个差距说明什么?说明现阶段的浏览器Agent本就不该被当成"完全可以撒手不管"的工具来用,权限审计和回滚,恰恰是在能力还没追上人类水平这段时间里,最实际的安全垫。
反过来看,这也是机会所在。谁能在这个阶段把权限颗粒度、审计留痕、回滚路径这套基础设施先搭起来,谁就能在企业客户开始认真做安全评估的时候,率先拿到"可以放心用"这张门票。能不能从个人玩具走向企业级工具,分水岭就在这里。
先补权限和回滚,不是慢了,是走得稳。
那道审计日志你补上了吗?
夜雨聆风