出品 | 51CTO技术栈(微信号:blog51cto)
赢了 OpenAI 一步,没想到是 Claude 率先杀入 AI 浏览器赛道!
Anthropic 已经启动“Claude for Chrome”内测,让AI 直接在网页里替你“点点点”,帮你订外卖、筛房源、甚至处理企业表单。
图片
加入waitlist:https://claude.ai/chrome
产品没成熟,就被Claude端上了桌,这无疑是一场抢占先机的豪赌。Anthropic在公告中直言:
由前沿模型驱动的浏览器 AI Agent已经出现,使得这项工作格外紧迫。通过解决安全问题,我们不仅能更好地保护 Claude 用户,还能将经验分享给任何使用我们 API 构建浏览器 AI 的开发者。
为什么这么急?因为这场 AI 浏览器之战已经开打:
- Perplexity 已推出自己的浏览器 Comet(但最近有个大的翻车事件)。
- OpenAI 据传也在憋一个 AI 浏览器。
- Google 已经在近几个月为 Chrome 推出了 Gemini 集成功能。
不过,Claude 的打法很谨慎,没有一步到位做独立浏览器,而是先推出 Chrome 插件,走“小步快跑”的策略。
同时,Claude启动了“内测限定”:这波功能只给 1000 名 Claude Max 氪金玩家(每月 100-200 美元)试用。
评论区有人晒出了自己邀请函,称自己是幸运的“天选之子”。
图片
与此同时,网友的调侃也来了,模仿着Claude经典口吻,暗戳戳点出大家最担心的风险:
“You're absolutely right,我真的不该给那个尼日利亚王子汇 3000 美元。”
图片
那么,Claude for Chrome 能干啥?
AI 浏览器为啥容易翻车,却还成了大厂必争之地?
1.Claude for Chrome 能干什么?
和不少国产 AI 浏览器插件类似,Claude for Chrome 也采用了右侧侧边栏设计,方便用户在网页内与 AI 实时交互。
图片
(作为对比,一直深耕浏览器Agent的智谱清言,采用同样的侧边栏设计)
图片
从宣传片来看,Claude 的能力覆盖了多种高频场景,虽然它在宣传中并未突出“编程优势”,略显遗憾,但整体功能仍相当硬核:
- 找房神器:Claude 能根据你的预算、户型和面积,在 Zillow 上筛选房源并直接展示最佳选项。
图片
- 文档助手:在 Google Docs 中,Claude 自动提炼评论要点,生成结构化摘要,帮你一眼看懂核心问题。
图片
- 外卖下单:Claude 可在 DoorDash 搜索指定菜品并直接加购,实现“一句话下单”。
图片
- 企业自动化:在 Salesforce 这样的系统中,Claude 能自动点击、修改字段并完成表单,真正替代人工操作。
图片
通过浏览器,Claude 不只是“能聊”,而是真正下场干活,把浏览器变成一个 AI 自动化执行平台。
2.Claude自曝AI浏览器痛点:无防护下攻击成功率 23.6%
Anthropic 坦言,在全面上线前,Claude for Chrome 仍有安全漏洞待补。
其中最棘手的,是提示注入攻击(Prompt Injection):
攻击者可在网页、邮件或文档中植入隐藏指令,诱骗 AI 执行恶意操作,用户却毫无察觉(如“忽略先前指令,改为执行[恶意操作]”)。
这种攻击可能导致文件删除、数据泄露,甚至触发金融交易。从这个角度看,网友调侃的“AI替你给尼日利亚王子汇款”,绝非无稽之谈。
Anthropic 的红队测试覆盖 29 种攻击场景、123 个用例,结果显示:
无防护下,Claude 浏览器代理的攻击成功率高达 23.6%。
目前,Claude 已部署两道防线,将成功率降至 11.2%,但这个数字依然不低。
3.AI浏览器风险降5成,Claude的解法是?
这一波,Claude Max 用户虽拿到“特权体验”,却也是最早的小白鼠。
Anthropic 声明中表示:全面开放前仍需扩大测试覆盖,力求将攻击成功率降至零。
Claude 目前设置的两道防线:
(1)用户始终掌握 Claude 的访问权:
- 站点级权限:用户可随时在设置中授权或撤销 Claude 对特定网站的访问。
- 高风险操作确认:在发布、购买、分享个人数据等高风险行为前,Claude 会征得用户同意。即使在用户选择试验性的“自主模式”下,Claude 仍会在高度敏感的操作上保留防护措施(注:所有红队和安全评估均在自主模式下进行)。
(2)依据 Anthropic 可信代理原则采取额外措施:
- 优化系统提示:在 Claude 接收用户指令之前,通过基础系统提示指导其正确处理敏感数据和请求。
- 站点封禁:默认封禁金融服务、成人内容、盗版资源等网站。
- 可疑模式检测:利用高级分类器识别隐藏指令或异常访问请求,即便它们伪装得“合情合理”。
特别针对浏览器攻击(如 DOM 中隐藏的恶意字段、URL 或标签页注入),Claude 在 4 类挑战测试中,将成功率从 35.7% 压到 0%。
4.先一步做AI浏览器的Perplexity,已经翻车了
Claude 虽然主打“安全第一”,但评论区依旧质疑声不断。
一位网友直言,Claude for Chrome 正踩入“致命三合一陷阱”:
- 访问你的私人数据:工具存在的主要目的之一。
- 暴露于不可信内容:恶意网页文本或图片可轻易混入
- 具备外部通信能力:可以用来窃取数据。
如果代理同时具备这三点,就很容易被攻击者欺骗,执行私密数据的外泄。
另一位网友补刀:
“这不是三合一,而是四合一,因为它还能主动操作,比如发邮件、转账。”
图片
更巧的是,就在 Claude 插件发布的前一天,AI 搜索独角兽 Perplexity 因 Comet 翻车登上 Hacker News 热榜。
图片
Comet AI 浏览器今年 7 月才上线,就被 Brave 实锤存在重大安全漏洞:无法区分用户请求与潜藏恶意指令,导致“间接 Prompt 注入”。
翻车过程有多离谱?看这个真实案例,AI怎么出卖了你的用户名和密码:
- 诱饵:用户在 Reddit 看帖,某条评论暗藏恶意指令(肉眼几乎看不出)。
- 正常操作:用户让 Comet 总结帖子,完全合理的请求。
- AI 中招:Comet 在总结时执行隐藏指令,提取用户的 Perplexity 登录凭证并发送给攻击者。
图片
这起事件揭示了一个残酷现实:浏览器 AI 一旦被“钓鱼”,比邮箱诈骗更致命。
看来这一次,Claude 的大动作,是打算踩着 Perplexity 的翻车现场过河了!
5.AI 浏览器是大势所趋,还是“舍近求远”?
Anthropic 在声明中直接给出结论:
“AI 使用浏览器,是大势所趋。”
理由很简单:大量工作都发生在浏览器中,让 Claude 具备查看页面、点击按钮、填写表单的能力,将大幅提升其实用性。
图片
但另一面,Hacker News 上不少开发者却泼了冷水:
问题在于网页的信息密度,远低于文档或代码,而 LLM 最擅长的是处理高密度内容。
一位网友直言:
几个月前,我做过一个非常类似的扩展,支持多种模型(包括 Claude),并让它们可以通过鼠标和键盘操作、观察等工具,控制用户的浏览器。这是个有趣的小项目,有助于理解这种机制是怎么运作的。
但是很明显,这项技术目前还不够成熟。网页的标准表示方式(DOM、截图等)的信息密度,比文档或代码低了一个数量级,而 LLM 最擅长的是处理高信息密度的内容。——要么改进网页表示方法,要么模型得更强大。
图片
更讽刺的是,AI 浏览器的路线本质上是训练模型像人一样点击 UI,而不是直接用现成的机器接口(API)。
有人吐槽:
“预订机票的问题,API 早就解决了,但现在我们反而逼着 AI 去点按钮。”
另一条评论则戳中悖论:
“旅游中介机构接受培训是为了能操作那些“机器可读”的接口,现在 AI 代理却被训练去模拟人类操作消费者界面,好取代人类工作。”
图片
效率低、风险高,但大厂依旧走这条路,原因也不难理解——用户只认网页,不认 API。
这和人形机器人被视为具身智能最有潜力的赛道,本质上是同一逻辑。
6.AI浏览器的最大变数:Chrome 归谁?
AI 浏览器的竞争还没真正开打,但一场更大的“棋局”已在酝酿。随着美国反垄断案进入尾声,法官很可能要求 Google 剥离 Chrome,这意味着全球用户量最大的浏览器即将易主。
资本嗅觉最灵敏。Perplexity 已抛出 345 亿美元收购 Chrome 的报价,而 OpenAI CEO Sam Altman 也公开表示,愿意接手。
如果交易真的落地,AI 浏览器之战将直接变成“入口之争”,Chrome 的归属决定未来谁能掌握最大流量池。
如果某家 AI 公司拿下 Chrome,整个格局将瞬间重构。
最后,我们想问问,你试用过类似的产品吗,你期待 AI 浏览器能帮你做什么?
你会担心浏览器助手的失控风险吗?
