AI浏览器来了,你敢用吗?
近几个月,一场浏览器的“智能革命”正悄然兴起。从OpenAI的ChatGPT Atlas到Perplexity的Comet,再到微软Edge集成的“Copilot Actions”,新一代的“AI浏览器”正试图彻底改变我们与互联网的交互方式。
它们不再满足于简单地响应你的搜索或总结网页。它们的核心是“AI代理/智能体”(Agentic AI)——一种能够代表用户采取行动的自主技术。
想象一下这样的场景:你向Perplexity Comet提供一个谷歌Keep的购物清单链接,几分钟后,它自动为你登录Kroger(某连锁超市)账户,精准挑选出你常买的商品(甚至包括玉米饼和素肉),并将所有商品放入购物车,直接跳转到结算页面。或者,你要求它帮你取消一个复杂的试用订阅,它能自动登录网站,穿过层层迷宫般的菜单,甚至独立处理客户支持聊天。
这种“代理”能力展现了惊人的效率,将原本需要数分钟甚至更久的繁琐任务缩短至几秒钟。然而,在这种近乎“魔法”的便利之下,隐藏着严峻的安全、隐私和可用性权衡。
便利的代价:安全噩梦
AI浏览器最大的卖点是能够代表你登录并操作网页,但这恰恰是其最致命的安全软肋。
最突出的威胁是“提示词注入”攻击。
安全研究人员警告称,一个对人类看似无害的网页(例如一个社交帖子或一篇博客文章)可以包含对AI隐藏的恶意指令。当你使用AI浏览器的“总结页面”功能时,这些恶意指令就可能被触发,欺骗AI代理在你登录的其他浏览器标签页中执行恶意操作。
Brave的安全研究团队描绘了一个可怕的场景:“如果你在浏览器中登录了银行、电子邮件等敏感账户,仅仅让AI总结一个社交媒体帖子,就可能导致攻击者窃取你的资金或私人数据。”
到目前为止,还没有人能彻底解决这个问题。
AI代理的身份危机:零信任的崩溃
要理解为什么AI浏览器如此危险,我们必须深入其技术核心:“AI代理”。
无论是消费级的AI浏览器,还是企业内部署的定制GPT和Copilots,它们都在扮演“自主代理”的角色。它们可以代表用户或组织做决策、访问系统、调用其他服务,而无需人类的实时干预。
随之而来的是一个紧迫的安全问题:如果AI在自主工作,我们如何信任它?
在传统的网络安全中,我们依赖零信任架构,即默认不信任任何事物,每个用户、端点和服务都必须持续证明其身份和权限。
然而,在“AI代理”的世界里,零信任原则正在迅速崩溃。这些AI代理往往在没有明确身份治理的情况下,继承了用户的凭证。安全团队无法回答一系列关键问题:
- 组织内究竟有多少个AI代理在运行?
- 谁创建了它们?谁是它们的所有者?
- 它们对企业系统和数据拥有哪些访问权限?
我们看到的是大量“影子代理”在内部开发工作站、生产账户或云沙箱中被随意创建。它们通常继承了过度配置的权限,或使用长期有效的密钥进行身份验证。
更糟糕的是,许多AI代理在创建者离开后变成了“孤儿代理”。它们没有所有者,没有轮换策略,没有权限审查,也没有行为监控。这些“孤儿代理”默认违反了零信任原则——系统正在信任一个它无法验证的实体。
GoUpSec建议:重构AI时代的信任根基
AI浏览器的风险,只是“代理AI”安全冰山的一角。无论是个人用户还是企业,我们都必须重新审视信任的基础。
解决方案是将“零信任”的核心原则——身份,注入到AI的管理中。我们必须像管理人类员工一样管理每一个AI代理。
根据NIST的AI风险管理框架(AI RMF)并结合零信任理念,任何AI代理在被授予信任之前,都必须具备以下条件:
- 唯一的、受管理的身份:每个AI代理都应有自己独立的身份标识,而不是“寄生”于用户的账户。
- 清晰的所有者:必须有明确的个人或团队对AI代理的行为负责。
- 基于意图的最小权限:权限应与其需要执行的具体任务严格绑定,而不是“继承”用户的所有权限。
- 完整的生命周期管理:代理的创建、审查、轮换和停用必须像其他身份一样被严格管理。
结论:你敢用的前提是“可问责”
回到最初的问题:AI浏览器来了,你敢用吗?
从目前来看,将它们用于处理敏感账户(如电子邮件、银行、核心业务系统)的风险高得难以接受。正如一些早期用户所做的,将其限制在小剂量、低风险的特定任务(如处理购物清单)上,或许是现阶段唯一谨慎的做法。
AI浏览器的“必然性”已经显现,主流的Chrome和Edge也正在加速集成类似功能。这意味着,无论你是否主动选择,你可能很快都将使用某种形式的AI浏览器。
风险是真实存在的。“孤儿代理”可能成为攻击者的后门;权限过高的代理可以在几秒钟内泄露敏感数据。当泄露发生时,如果没有清晰的身份标识,安全团队将无法追溯,“我们不知道是谁干的。”
AI的信任必须通过问责来建立,而不是盲目假定。在身份治理这个根基打牢之前,将你的数字生活完全托付给一个自主AI代理,无疑是一场高风险的赌博。
