Claude Chrome 扩展:浏览网页时的 AI 助手
来源: Claude.com Blog
发布日期: 2026-03-06
类型: 产品更新
概述
Anthropic 正式推出了 Claude Chrome 浏览器扩展的测试版本,标志着 AI 助手正式进入浏览器交互领域。这项功能允许用户在浏览网页时直接指令 Claude 代表用户执行各种操作,从简单的表单填写到复杂的网页交互任务。
该扩展最初于 2025 年 8 月面向 1,000 名 Max 计划用户开启研究预览,经过数月的真实环境测试后,目前已扩展至所有付费计划用户(Pro、Team、Enterprise 和 Max 计划)。企业用户还获得了组织级管理功能,管理员可以统一启用或禁用扩展,并配置站点白名单和黑名单。
Claude Chrome 扩展的核心价值在于将 AI 助手深度集成到用户日常浏览体验中。用户可以授权 Claude 访问特定网站,让其自动执行日历管理、邮件回复、费用报告处理等重复性任务。对于开发者,Claude 能够读取控制台错误和 DOM 状态,直接在浏览器中协助调试代码。
然而,浏览器 AI 也带来了前所未有的安全挑战。最主要的安全威胁是”提示注入攻击”(prompt injection attacks)——恶意行为者通过在网页、邮件或文档中隐藏指令,诱骗 AI 在用户不知情的情况下执行有害操作。Anthropic 的红队测试显示,在没有安全缓解措施的情况下,浏览器 AI 的攻击成功率高达 23.6%。
为此,Anthropic 实施了多层防御机制:站点级权限控制、高风险操作确认、改进的系统提示、高风险类别网站屏蔽,以及先进的分类器来检测可疑指令模式。这些措施将攻击成功率降至 11.2%,针对浏览器特定攻击的防护成功率更是从 35.7% 降至 0%。
核心内容
产品发展历程
2025 年 8 月 25 日 - 初始发布
- 面向 1,000 名 Max 计划用户开启研究预览
- 开始收集真实世界使用反馈
2025 年 11 月 24 日 - Max 计划全面开放
- 经过三个月测试,向所有 Max 计划订阅者开放测试版
- 新增计划任务功能
- 支持多标签页工作流
- 优化常用网站的智能导航
2025 年 12 月 18 日 - 全付费计划开放
- 扩展至 Pro、Team 和 Enterprise 计划
- 新增 Claude Code 集成
- 团队和企业用户获得组织级管理功能
为什么需要浏览器 AI?
Anthropic 在博客中明确指出:”使用浏览器的 AI 是不可避免的”。现代工作中,绝大部分任务都在浏览器中完成。让 Claude 能够看到用户正在浏览的内容、点击按钮、填写表单,将使其实用性大幅提升。
Anthropic 内部团队已经在使用早期版本的 Claude in Chrome 来:
- 管理日历和安排会议
- 起草邮件回复
- 处理常规费用报告
- 测试新网站功能
安全挑战:提示注入攻击
浏览器 AI 面临的最大安全威胁是提示注入攻击。这种攻击方式类似于网络钓鱼,恶意行为者在网站、邮件或文档中隐藏指令,诱骗 AI 执行有害操作。
攻击示例:
在红队测试中,一封恶意邮件声称出于安全原因需要删除邮件。当 Claude 处理收件箱时,在没有安全缓解措施的情况下,它会按照这些指令删除用户的邮件而无需确认。
攻击流程:
- 恶意邮件伪装成雇主发送,声称为了”邮箱卫生”需要删除邮件
- 邮件声明”无需额外确认”
- Claude 按”安全团队”要求选择并删除用户邮件
测试数据:
- Anthropic 进行了广泛的对抗性提示注入测试
- 评估了 123 个测试用例,代表 29 种不同的攻击场景
- 没有安全缓解措施时,攻击成功率为 23.6%
当前防御措施
1. 权限控制
- 站点级权限:用户可随时在设置中授予或撤销 Claude 对特定网站的访问权限
- 操作确认:Claude 在执行高风险操作(如发布、购买或共享个人数据)前会询问用户
- 自主模式保护:即使用户选择实验性的”自主模式”,Claude 仍对高度敏感操作保持某些保护措施
2. 系统提示改进
- 改进了系统提示(Claude 收到用户具体指令前的一般性指令)
- 指导 Claude 如何处理敏感数据
- 指导 Claude 如何响应执行敏感操作的请求
3. 网站类别屏蔽
- 屏蔽高风险类别网站,包括:
- 金融服务
- 成人内容
- 盗版内容
4. 高级分类器
- 检测和识别可疑指令模式
- 识别异常数据访问请求
- 即使在看似合法的上下文中也能检测
防护效果:
- 自主模式添加安全缓解措施后,攻击成功率从 23.6% 降至 11.2%
- 针对 4 种浏览器特定攻击类型的”挑战”测试集,攻击成功率从 35.7% 降至 0%
特殊攻击类型的防护
Anthropic 还针对浏览器特有的新型攻击进行了专门的红队测试和缓解:
- DOM 隐藏恶意表单字段:网页文档对象模型中隐藏的恶意表单字段,对人类不可见但对 AI 可见
- URL 文本注入:通过 URL 文本注入恶意指令
- 标签页标题注入:通过标签页标题注入难以捕捉的指令
在这些浏览器特定攻击类型上,新的安全缓解措施将攻击成功率从 35.7% 成功降至 0%。
研究预览计划
内部测试无法完全复制真实世界中人们浏览的复杂性:
- 用户提出的具体请求
- 访问的网站类型
- 恶意内容在实践中的表现形式
- 恶意行为者不断开发的新形式提示注入攻击
研究预览计划的目标:
- 与受信任用户在真实条件下合作
- 揭示当前哪些保护措施有效,哪些需要改进
- 完善提示注入分类器和底层模型
- 发现真实世界中的不安全行为和新攻击模式
- 开发更复杂的权限控制系统
如何参与测试
- 访问 claude.ai/chrome 加入研究预览等待名单
- 获得访问权限后,从 Chrome 网上应用店安装扩展
- 使用 Claude 凭据进行身份验证
安全建议:
- 从受信任的网站开始使用
- 始终注意对 Claude 可见的数据
- 避免在涉及金融、法律、医疗或其他敏感信息的网站上使用
- 详细安全指南可在帮助中心找到
关键要点总结
| 方面 | 详情 |
|---|---|
| 发布时间线 | 2025 年 8 月测试 → 11 月 Max 开放 → 12 月全付费计划开放 |
| 目标用户 | Pro、Team、Enterprise、Max 计划订阅者 |
| 核心功能 | 网页交互、表单填写、日历管理、邮件处理、代码调试 |
| 主要风险 | 提示注入攻击(无防护时成功率 23.6%) |
| 防护措施 | 权限控制、操作确认、系统提示、网站屏蔽、分类器 |
| 防护效果 | 整体攻击率降至 11.2%,浏览器特定攻击降至 0% |
| 管理功能 | 组织级启用/禁用、站点白名单/黑名单(企业版) |
个人评价
Claude Chrome 扩展的推出是 AI 助手发展的重要里程碑,标志着 AI 从”对话式”向”代理式”的关键转变。这一产品方向具有深远意义:
积极方面:
实用性突破:将 AI 直接集成到浏览器中,解决了 AI 助手”最后一英里”的问题。用户不再需要复制粘贴内容到 AI 界面,AI 可以直接操作网页元素,这大幅提升了工作效率。
安全透明度:Anthropic 公开披露了安全测试结果和攻击数据,这种透明度在 AI 行业中较为罕见。公布 23.6% 的攻击成功率需要勇气,也体现了其对安全的重视。
渐进式发布策略:从 1,000 名用户开始逐步扩大,这种谨慎的发布方式有助于在真实环境中发现和修复问题,避免了大规模安全事件的发生。
企业级考虑:为团队和企业提供组织级管理功能,显示了 Anthropic 对企业市场的重视,这也是 AI 产品商业化的重要方向。
待关注问题:
剩余风险:尽管攻击成功率已降至 11.2%,但这仍然意味着每 9 次攻击中就有 1 次可能成功。对于高价值目标,这个风险比例仍然不可忽视。
攻击演进:博客承认”新型提示注入攻击不断被开发”,这意味着安全防护需要持续更新,是一场持久的军备竞赛。
用户教育负担:安全指南要求用户”始终注意对 Claude 可见的数据”,这将教育负担转移给了用户,而普通用户可能缺乏足够的安全意识。
隐私边界:Claude 需要访问用户浏览数据才能工作,这引发了数据隐私的考虑。虽然 Anthropic 表示会保护用户数据,但这仍然是企业采用时需要考虑的因素。
行业影响:
浏览器 AI 代理是 AI 发展的必然方向。随着前端模型能力的提升,浏览器将成为 AI 代理的主要工作场所。Anthropic 在安全方面的探索和经验分享,将为整个行业提供宝贵参考。
对于开发者和企业用户,建议采取以下策略:
- 在非敏感环境中先行测试
- 建立内部使用规范和安全指南
- 持续监控和评估安全风险
- 关注 Anthropic 的安全更新和最佳实践
总体而言,Claude Chrome 扩展代表了 AI 代理发展的正确方向,但在安全方面仍需持续改进。对于早期采用者,这是一个值得关注的产品;对于企业用户,建议等待更成熟的安全记录后再考虑大规模部署。
本文内容翻译自 Claude.com Blog 官方博客,原文标题为”Piloting Claude in Chrome”。