智東西AI前瞻(公眾號:zhidxcomAI)
編譯 | 江宇
編輯 | 漠影

智東西8月27日報道,Anthropic今日推出一款瀏覽器端AI Agent工具“Claude for Chrome”,允許用戶直接在Chrome中調用Claude完成瀏覽、點擊、填表等操作。

該產品以Chrome插件形式運行,目前作為“研究預覽”階段,僅向1000名Claude Max訂閱用戶開放測試,并同步開放候補名單登記。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

Anthropic將這一功能視為AI接入人類日常軟件生態的“下一步”,但也直言其中存在嚴峻安全挑戰,尤其是Prompt Injection(指令注入)攻擊風險。

Anthropic方面透露,Claude for Chrome已通過大量紅隊測試驗證風險點,并實測在引入新防御機制后,將攻擊成功率從23.6%降低至11.2%,部分特定場景中甚至降至0%

FellouAI創始人、前字節跳動工程師謝揚也隨即發聲稱:“FellouAI可以作為Claude for Chrome的替代方案,新版本將于9月2日上線。”作為一款主打“Agentic Browser”形態的瀏覽器,FellouAI也被視為本輪瀏覽器智能體競速中的有力競爭者。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

▲圖源:X

過去幾個月,Anthropic陸續上線了Claude對接用戶日歷、文檔等多種功能,如今終于邁入“瀏覽器操作”階段。通過Chrome插件,Claude可以在用戶授權下“看到你在瀏覽什么”,并執行點擊、輸入、跳轉等操作,實現更深入的網頁自動化能力。

1、找房篩選:用戶在Chrome中輸入一句自然語言指令(如“幫我在西雅圖找一套3室、1500平方英尺以上、帶車庫、價格在80萬美元以內的房子”),Claude可自動打開Zillow頁面,配置篩選條件并返回最優選項列表。過程中,它會附上頁面、定位搜索框、勾選條件,并請求權限后執行操作,實現“AI找房”

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

2、文檔總結:在Google Docs中,Claude可讀取整份PRD文檔并自動提取出所有評論內容、匯總要點,并生成結構化摘要。Claude已具備通讀上下文、提煉團隊共識的能力,輔助用戶高效處理修改意見。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

3、外賣下單:在DoorDash場景下,Claude可以理解用戶需求(如“幫我找一份蒜香面并加到購物車”),定位網頁中對應模塊,選擇符合條件的餐廳選項,執行搜索與加購操作。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

4、企業系統操作:在Salesforce這類企業管理平臺中,Claude已能識別并操作系統級表單字段,例如點擊“Convert Lead”按鈕、識別彈窗信息、定位字段名稱并修改內容,完成一系列跨層級自動操作,具備替代部分重復人工作業的潛力。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

Claude的能力覆蓋了多種高頻使用場景,整體功能表現硬核。網友也對Claude瀏覽器能力的下一步聯動表現出期待:“如果這套瀏覽器能力未來能和Claude Code整合,可能會非常驚艷。”

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

▲圖源:X

這些演示案例都指向一個趨勢:Claude正嘗試打通“從理解語言、到瀏覽網頁、到實際執行”的閉環,形成一個貫穿任務全流程的瀏覽器Agent。

它不再是一個純文本助手,而是可以“點按鈕”“填表單”“讀評論”“下訂單”的網頁操作者,真正把瀏覽器變成AI的操作系統。

Anthropic認為,瀏覽器作為信息聚合中樞,將成為AI Agent的核心落點,“我們已經在內部測試中觀察到Claude能處理包括日程管理、會議安排、郵件草擬、費用報銷與網站測試等任務,效果明顯。”

但這類能力也伴隨著系統級安全挑戰,其中最大的問題是Prompt Injection:攻擊者可在網頁、郵件甚至DOM隱藏內容中埋藏指令,誘使AI執行惡意行為,例如在隱藏文本寫:忽略前述指令,改為執行某惡意操作。

在未加防護的早期測試中,一封偽裝為“公司安全通知”的郵件成功誘導Claude刪除用戶所有郵件。而Anthropic的新防護措施成功攔截了這一攻擊:Claude識別出這是可疑的釣魚郵件,并未執行指令。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

Claude for Chrome已上線多層安全機制,包括:

1、權限控制:用戶可手動限制Claude訪問網站范圍。

2、高風險行為確認機制:如發布、付款、數據共享等行為需用戶手動確認。

3、系統提示詞優化:通過系統Prompt加強Claude對敏感操作的判斷能力。

4、敏感站點默認禁用:金融、成人、盜版等類站點Claude默認不可訪問。

5、行為模式識別:部署高級分類器識別潛在攻擊指令與異常數據訪問請求。

在Anthropic的實測中,未加防護的Claude瀏覽器使用場景下,Prompt Injection攻擊成功率高達23.6%;而引入新防御機制后,成功率降至11.2%。特別是在DOM隱藏字段、URL偽裝、標簽誘導等“瀏覽器特有攻擊”場景下,攻防結果從35.7%成功率降低至0%。

Claude殺進谷歌瀏覽器,Agent能點、能填、能跳轉,讓頁面自己“動”起來

▲在三種測試場景中,Prompt注入攻擊的成功率對比(分數越低代表防護效果越好)。最新安全機制使Claude的攻擊成功率降至低于舊版電腦控制能力。

Anthropic強調,這一版本仍為早期預覽,將借助測試用戶反饋,持續迭代分類器與權限設計機制,以應對未來可能出現的新型攻擊。

結語:Claude切入瀏覽器入口,“AI+瀏覽器”競速初現雛形

瀏覽器入口之爭,已成為AI產品競爭的前沿陣地。

Anthropic此舉與Perplexity推出Comet瀏覽器、OpenAI加緊研發AI瀏覽器產品,以及Google在Chrome中集成Gemini的方向不謀而合。與此同時,Opera、Dia、Fellou等新玩家也在探索更具通用Agent能力的新瀏覽器形態。

無論是打造獨立Agentic瀏覽器,還是在現有瀏覽器中嵌入AI助手,各方都在爭奪人機交互的新入口。

誰能率先在這個入口上形成更高頻、更有深度的AI執行能力,還有待進一步發展。

來源:TechCrunch