浏览器状态是隐形权限
浏览器Agent看起来只是点击网页、填写表单、下载文件,但它真正的权限来自会话状态:Cookie、LocalStorage、已登录账号、下载目录、历史记录和浏览器扩展。只要这些状态串号,Agent就可能用错账号、读到别人的页面或把文件下载到错误位置。
每个任务都应有独立上下文
高风险场景下,浏览器Agent最好为每个任务创建隔离上下文:独立Cookie、独立缓存、独立下载目录、明确的文件清理策略。不要让测试任务和生产任务共用同一个浏览器配置,更不要让不同客户共享同一个持久会话。
下载和上传都要记录
下载文件可能包含敏感数据,上传文件则可能造成外发。测评时要看Agent是否记录下载URL、文件名、大小、MIME类型、保存路径和后续处理动作。上传时要记录目标域名、字段、文件来源和确认人。
和AI中转站的关系
浏览器隔离通常在执行环境完成,但AI中转站仍有价值。通过 https://top-api.cc 记录模型调用、任务ID、工具结果和成本,团队可以把浏览器动作和模型决策串起来,出现误操作时能回放是哪次模型输出触发了点击或上传。
测评清单
- 每个任务是否有独立浏览器上下文
- Cookie和LocalStorage是否按用户或租户隔离
- 下载目录是否按任务隔离并定期清理
- 上传动作是否记录目标和文件来源
- 是否禁止Agent访问浏览器密码管理器
- 失败截图和HTML快照是否脱敏保存
结语
浏览器Agent的风险不只在模型怎么想,也在浏览器保存了什么状态。会话隔离做好,自动化才不会把不同用户、客户和任务揉在一起。
Leave a Reply