長期以來,瀏覽器僅被視為通往網路世界的入口,然而隨著生成式 AI 與大型語言模型的整合,這個視窗正在轉變為具備主動功能的代理系統。雖然大幅提升使用者的生產力,卻也讓企業處在資安風險漏洞邊緣。
當瀏覽器不再僅作為顯示器,進一步開始成為協作者時,企業便跨入全新的資安風險。
瀏覽器不再只是入口,代理式 AI 重寫工作與風險邊界
瀏覽器生態已與往昔大不相同,舉例來說,微軟在 Edge 瀏覽器中配置了 Copilot 圖示,使用者只需輕輕點擊,瀏覽器便能摘要頁面、翻譯段落或撰寫郵件;與此同時,Google 正將 Gemini 的功能導入 Chrome 瀏覽器,而如 Arc 和 Dia 等新興瀏覽器則更進一步,致力於開發能夠為使用者閱讀、推理並採取行動的模型。
這些都代表瀏覽器進入由代理式 AI 驅動的新篇章,且這類「代理型瀏覽器」透過嵌入 LLM 驅動的助手,不僅提供基本的摘要功能,還能主動與應用程式互動或執行指令,這使得瀏覽器的角色從原本的被動介面,轉變為具備決策與執行能力的系統節點。
這種演進背後存在多重驅動因素。分析認為,員工對效率的需求日益增長,希望能在單一平台完成研究、撰寫、排程與工作流運行,而不願在 AI 工具、瀏覽器與 SaaS 應用程式之間反覆跳轉。此外,供應商的整合策略也推動了這一趨勢。企業不再需要管理無數的插件與擴充元件,而是透過一個「智慧瀏覽器」平台來完成所有工作。
然而,便利性往往走在風險管控能力完善之前,當瀏覽器被賦予高度的自主權,它便擁有了橫跨電子郵件、雲端儲存、SaaS 應用與本地文件的跨網域存取能力,每一項新功能的加入,實際上都伴隨著潛在的誤用風險。
看不見的指令正在奪走權限
當 AI 助手開始深入參與使用者的日常操作時,新型態的資安威脅也隨之而來。
使用者在訪問看似正常的網站時,AI 助理可能會為了摘要資訊而讀取頁面上的所有內容,包括那些對人類肉眼不可見的隱藏文字、標籤或廣告代碼。這便成為了「提示注入」(Prompt Injection)攻擊的入口。
攻擊者可以將白底白字的文字、隱藏的 HTML 標頭、Cookies 或代碼嵌入在圖像中。對於 AI 模型而言,這些內容與一般資訊無異,但其中包含的指令卻可能驅動 AI 模型,私自登入使用者的電子郵件、發送工作階段令牌(Session Token),或下載並執行惡意檔案。
這種攻擊模式的恐怖之處在於其極高的隱蔽性。由於攻擊行為是由合法的 AI 助手發起,傳統的端點偵測與回應(EDR)技術或抗毒軟體往往難以察覺。
另外,代理式瀏覽器同時繼承了傳統瀏覽器的弱點(如 CVE 漏洞、惡意擴充功能)與 AI 特有的風險。當 AI 代理在擁有使用者身分驗證狀態的情況下自主執行任務,傳統的網路安全假設便會瓦解。
此外,嵌入式 LLM 在累積上下文的過程中,可能會無意中儲存或傳輸敏感數據,導致資料外洩。
更複雜的問題在於責任歸屬的模糊。AI 助手可以跨多個身分與系統同步執行操作,對於資安監控中心(SOC)的分析師而言,要判斷某一項 AI 發起的行動究竟是使用者的指令、AI 的誤判還是惡意攻擊者的操控,變得極其困難。
同時,員工可能在未經審核的情況下使用各類 AI 外掛或個人 Copilot 工具,這些開發者使用的代理型命令列介面(CLI)若引入受污染的程式包,將使組織內部風險更加擴大。
簡單來說,我們正從「瀏覽器+獨立 AI 工具+應用程式」的模式轉向一個融合體,這讓攻擊者的攻擊面從三個縮減為一個整合且龐大的目標。
員工學會識別 AI 代理的不尋常行為很重要
面對如此隱蔽且多變的威脅,企業的防禦思維必須發生根本性的轉變。偵測的重心必須由偵測惡意軟體轉向「異常行為分析」。
雖然 AI 攻擊不具備傳統特徵代碼,但其產生的行為仍會留下線索。例如使用者突然發送了從未發過的訊息、大量上傳未標註的文件、出現新的信件處理規則,或者外發郵件中包含明文密碼。
企業內部的資安團隊就需要具備,能夠攔截數據外洩並關聯這些異常活動的工具,並計劃如何自動化執行遏制行動。
對於資源有限的中小型組織,依賴託管式 SOC 支援與自動化防護是必要的手段。同時,組織必須建立明確的 AI 使用政策,規範哪些瀏覽器、AI 功能與擴充元件是獲准使用的。開發人員的行為也需受到監督,確保僅使用經簽名的軟體包。資安主管則應主張從控制部署開始,將代理式瀏覽器首先在低風險的小規模群體中試行,並從第一天起就強化遙測與日誌記錄。
在治理層面,應限制 AI 的自主執行模式。企業應將 AI 的代行權限視為特權執行,對於提供表單、連接內部系統等高風險動作,必須要求人類確認(Human-in-the-loop)。此外,應將零信任原則延伸至此領域,實施最小權限原則,並透過資料外洩防護技術,防止受監管的敏感資料進入 AI 提示詞。
將「代理式瀏覽」與「敏感性瀏覽」的工作環境隔離開來,也是一種有效的防禦策略。而且員工的培訓至關重要,他們必須理解瀏覽器底層運作,並學會識別 AI 代理的不尋常行為。
缺乏嚴謹的治理將成為風險破口
代理 AI 瀏覽器工具讓威脅變得更加難以捉摸,也迫使企業必須重新定義何謂「可接受的自動化」。如果缺乏嚴謹的治理與持續的行為監控,曾經的效率工具極可能成為企業最難察覺的攻擊入口。
給予工具「為我代勞」的權利,等同於在工具遭破壞時給予對手更大的活動空間。因此,企業應採取類似早期雲端或行動化普及時順序:試行、監控並實施治理。
【推薦閱讀】
◆ OpenAI 承認 AI 瀏覽器難防「提示注入攻擊」,企業該如何建立最後防線?
◆ 開發速度快 660% 的代價:45% AI 代碼有毒,企業如何建立不被拖垮的資安法則?
◆ 為什麼 AI 瀏覽器無法取代 Chrome?從實測看卡關的真正原因
*本文開放合作夥伴轉載,參考資料:《Techradar》、《Troj.ai》,圖片來源:Unsplash
(責任編輯:鄒家彥)
