在过去的几个月里,Anthropic团队致力于将Claude与用户的日历、文档和其他软件进行连接。现在,他们迈出了逻辑上的下一步:让Claude直接在浏览器中工作。Anthropic认为,基于浏览器的AI应用是不可避免的,因为大量工作都在浏览器环境中完成。赋予Claude查看用户正在浏览的内容、点击按钮和填写表单的能力,将使其功能得到显著提升。
然而,浏览器AI带来了需要更强安全防护措施的安全和挑战。通过与可信合作伙伴在实际应用中收集反馈,了解其优缺点和安全问题,Anthropic能够构建强大的分类器,并教会未来的模型避免不良行为。这确保了随着能力的提升,浏览器安全措施也能同步发展。
浏览器AI的安全考量
在Anthropic内部,早期版本的Claude for Chrome已显示出显著改进,可用于管理日历、安排会议、起草邮件回复、处理常规费用报表和测试新网站功能。
然而,在向公众广泛发布Claude for Chrome之前,仍有一些漏洞需要修复。正如人们在收件箱中会遇到钓鱼尝试一样,浏览器AI面临提示注入攻击——恶意行为者将指令隐藏在网站、邮件或文档中,诱骗AI在用户不知情的情况下执行有害操作(例如隐藏文本说"忽略之前的指令,改为执行[恶意操作]")。
提示注入攻击可能导致AI删除文件、窃取数据或进行金融交易。这并非推测:Anthropic进行了"红队"测试来测试Claude for Chrome,在没有缓解措施的情况下,他们发现了一些令人担忧的结果。
提示注入攻击的测试结果
Anthropic进行了广泛的对抗性提示注入测试,评估了代表29种不同攻击场景的123个测试用例。在没有安全缓解措施的情况下,浏览器使用在面对恶意行为者的有针对性攻击时,攻击成功率达到23.6%。
一个成功攻击的例子——在应用新防御措施之前——是一封恶意邮件,声称出于安全原因需要删除邮件。当处理收件箱时,Claude遵循这些指令删除了用户的邮件,未经确认。
Claude遇到恶意邮件,该邮件模仿雇主要求删除邮件以进行"邮箱维护",并声称"无需额外确认"。
Claude未经确认就按照指示操作,选择并删除了用户的邮件"应安全团队要求"。
我们的新防御措施成功抵御了这一特定攻击。Claude认识到"这是一个可疑的安全事件邮件,似乎是钓鱼尝试",并未对其采取行动。
当前防御措施
防御提示注入攻击的第一道防线是_权限_。用户可以控制Claude for Chrome可以访问和执行的操作:
- 网站级权限:用户可以在设置中随时授予或撤销Claude对特定网站的访问权限。
- 操作确认:Claude在执行发布、购买或共享个人数据等高风险操作前会询问用户。即使用户选择我们的实验性"自主模式",Claude仍会对高度敏感的操作保持某些防护措施(注意:所有红队和安全评估都是在自主模式下进行的)。
Anthropic还根据其可信代理原则构建了额外的防护措施。首先,他们改进了系统提示——Claude在接收用户特定指令之前收到的一般指令——指导Claude如何处理敏感数据和响应敏感操作的请求。
此外,Anthropic阻止了Claude访问某些高风险类别的网站,如金融服务、成人内容和盗版内容。他们已经开始构建和测试高级分类器,以检测可疑指令模式和异常数据访问请求——即使这些请求出现在看似合法的上下文中。
当我们在自主模式中添加安全缓解措施时,将攻击成功率从23.6%降低到11.2%,这代表了我们现有的计算机使用能力(Claude可以看到用户的屏幕,但没有我们今天引入的浏览器界面)的显著改进。
三种场景下的提示注入攻击成功率:我们旧的计算机使用能力、仅使用先前安全缓解措施的新浏览器使用产品,以及使用新缓解措施的新浏览器使用产品(分数越低越好)。我们的安全改进将浏览器攻击成功率降低到计算机使用水平以下。
Anthropic还进行了针对浏览器特定新攻击的特殊红队和缓解措施,例如网页文档对象模型(DOM)中隐藏的恶意表单字段(人类不可见),以及其他难以发现的注入,如通过URL文本和只有代理可能看到的选项卡标题。在一个包含四种浏览器特定攻击类型的"挑战"集合中,新的缓解措施能够将攻击成功率从35.7%降至0%。
在使Claude for Chrome更广泛可用之前,Anthropic希望扩展他们正在考虑的攻击范围,并通过了解当前以及未来可能出现的威胁,将这些百分比更接近零。
参与研究预览
内部测试无法完全复制人们在现实世界中浏览的复杂性:他们提出的具体请求、访问的网站以及恶意内容实际出现的方式。恶意行为者也在不断开发新的提示注入攻击形式。这次研究预览使Anthropic能够在真实条件下与可信用户合作,揭示当前哪些保护措施有效,哪些需要改进。
Anthropic将使用研究预览中的见解来改进其提示注入分类器和基础模型。通过发现不安全行为和新攻击模式的真实世界示例(这些示例在受控测试中不存在),他们将教会模型识别这些攻击并考虑相关行为,并确保安全分类器能够捕捉模型本身可能遗漏的任何内容。他们还将根据用户希望如何在浏览器中使用Claude的反馈,开发更复杂的权限控制。
对于研究预览,Anthropic正在寻找能够接受Claude在Chrome中代表其执行操作的可信测试者,并且没有安全关键或敏感的设置。
如果您想参与,可以在claude.ai/chrome加入Claude for Chrome研究预览等待列表。获得访问权限后,您可以从Chrome网上应用店安装扩展程序,并使用Claude凭据进行身份验证。
我们建议从可信网站开始——始终注意Claude可见的数据——并避免使用Claude for Chrome处理涉及金融、法律、医疗或其他类型敏感信息的网站。您可以在我们的帮助中心找到详细的安全指南。
浏览器AI的未来展望
Claude for Chrome的推出标志着AI助手与浏览器环境深度融合的重要一步。随着技术的不断发展,我们可以预见几个关键趋势:
1. 更智能的上下文理解
未来的浏览器AI将能够更深入地理解网页内容,不仅仅是识别元素,还能理解页面的语义和用户意图。这将使AI能够执行更复杂的任务,如填写多步骤表单、比较不同网站的产品价格,甚至协助进行在线研究。
2. 增强的安全机制
随着攻击技术的演变,安全防护也将变得更加复杂。我们可以期待看到更先进的检测机制,如行为分析、异常检测和实时风险评估。这些系统将能够识别新的攻击模式,甚至在造成损害之前阻止它们。
3. 个性化用户体验
浏览器AI将更好地适应用户的工作流程和偏好。通过学习用户的行为模式,Claude等AI助手能够预测用户需求,主动提供帮助,减少手动操作,提高工作效率。
4. 跨平台整合
浏览器AI将成为更广泛的数字生态系统的一部分,与其他应用程序和服务无缝集成。这将创建一个连贯的AI辅助体验,无论用户是在浏览器中工作还是使用其他应用程序。
结论
Claude for Chrome代表了AI技术发展的一个重要里程碑,展示了AI如何从简单的对话工具转变为能够在复杂数字环境中执行实际任务的智能助手。虽然安全挑战仍然存在,但Anthropic通过系统性的测试、防御措施和用户反馈收集,正在为浏览器AI的负责任发展铺平道路。
随着技术的成熟,我们可以期待看到更多创新的浏览器AI应用,它们将重新定义我们与数字世界的互动方式。然而,这种转变必须伴随着持续的安全关注和用户教育,确保AI增强我们的能力,而不是引入新的风险。
Claude for Chrome的研究预览不仅是对新技术的测试,更是对AI如何安全、有效地融入我们日常工作的探索。通过这一过程,Anthropic正在为整个行业设定标准,展示如何在不牺牲安全性的情况下推进AI能力的边界。
