出品 | 51CTO技術棧（微信號：blog51cto）

贏了 OpenAI 一步，沒想到是 Claude 率先殺入 AI 瀏覽器賽道！

Anthropic 已經啟動“Claude for Chrome”內測，讓AI 直接在網頁里替你“點點點”，幫你訂外賣、篩房源、甚至處理企業表單。

圖片

加入waitlist：https://claude.ai/chrome

產品沒成熟，就被Claude端上了桌，這無疑是一場搶占先機的豪賭。Anthropic在公告中直言：

由前沿模型驅動的瀏覽器 AI Agent已經出現，使得這項工作格外緊迫。通過解決安全問題，我們不僅能更好地保護 Claude 用戶，還能將經驗分享給任何使用我們 API 構建瀏覽器 AI 的開發者。

為什么這么急？因為這場 AI 瀏覽器之戰已經開打：

• Perplexity 已推出自己的瀏覽器 Comet（但最近有個大的翻車事件）。
• OpenAI 據傳也在憋一個 AI 瀏覽器。
• Google 已經在近幾個月為 Chrome 推出了 Gemini 集成功能。

不過，Claude 的打法很謹慎，沒有一步到位做獨立瀏覽器，而是先推出 Chrome 插件，走“小步快跑”的策略。

同時，Claude啟動了“內測限定”：這波功能只給 1000 名 Claude Max 氪金玩家（每月 100-200 美元）試用。

評論區有人曬出了自己邀請函，稱自己是幸運的“天選之子”。

圖片

與此同時，網友的調侃也來了，模仿著Claude經典口吻，暗戳戳點出大家最擔心的風險：

“You're absolutely right，我真的不該給那個尼日利亞王子匯 3000 美元。”

圖片

那么，Claude for Chrome 能干啥？

AI 瀏覽器為啥容易翻車，卻還成了大廠必爭之地？

1.Claude for Chrome 能干什么？

和不少國產 AI 瀏覽器插件類似，Claude for Chrome 也采用了右側側邊欄設計，方便用戶在網頁內與 AI 實時交互。

圖片

（作為對比，一直深耕瀏覽器Agent的智譜清言，采用同樣的側邊欄設計）

圖片

從宣傳片來看，Claude 的能力覆蓋了多種高頻場景，雖然它在宣傳中并未突出“編程優勢”，略顯遺憾，但整體功能仍相當硬核：

• 找房神器：Claude 能根據你的預算、戶型和面積，在 Zillow 上篩選房源并直接展示最佳選項。

圖片

• 文檔助手：在 Google Docs 中，Claude 自動提煉評論要點，生成結構化摘要，幫你一眼看懂核心問題。

圖片

• 外賣下單：Claude 可在 DoorDash 搜索指定菜品并直接加購，實現“一句話下單”。

圖片

• 企業自動化：在 Salesforce 這樣的系統中，Claude 能自動點擊、修改字段并完成表單，真正替代人工操作。

圖片

通過瀏覽器，Claude 不只是“能聊”，而是真正下場干活，把瀏覽器變成一個 AI 自動化執行平臺。

2.Claude自曝AI瀏覽器痛點：無防護下攻擊成功率 23.6%

Anthropic 坦言，在全面上線前，Claude for Chrome 仍有安全漏洞待補。

其中最棘手的，是提示注入攻擊（Prompt Injection）：

攻擊者可在網頁、郵件或文檔中植入隱藏指令，誘騙 AI 執行惡意操作，用戶卻毫無察覺（如“忽略先前指令，改為執行[惡意操作]”）。

這種攻擊可能導致文件刪除、數據泄露，甚至觸發金融交易。從這個角度看，網友調侃的“AI替你給尼日利亞王子匯款”，絕非無稽之談。

Anthropic 的紅隊測試覆蓋 29 種攻擊場景、123 個用例，結果顯示：

無防護下，Claude 瀏覽器代理的攻擊成功率高達 23.6%。

目前，Claude 已部署兩道防線，將成功率降至 11.2%，但這個數字依然不低。

3.AI瀏覽器風險降5成，Claude的解法是？

這一波，Claude Max 用戶雖拿到“特權體驗”，卻也是最早的小白鼠。

Anthropic 聲明中表示：全面開放前仍需擴大測試覆蓋，力求將攻擊成功率降至零。

Claude 目前設置的兩道防線：

（1）用戶始終掌握 Claude 的訪問權：

• 站點級權限：用戶可隨時在設置中授權或撤銷 Claude 對特定網站的訪問。
• 高風險操作確認：在發布、購買、分享個人數據等高風險行為前，Claude 會征得用戶同意。即使在用戶選擇試驗性的“自主模式”下，Claude 仍會在高度敏感的操作上保留防護措施（注：所有紅隊和安全評估均在自主模式下進行）。

（2）依據 Anthropic 可信代理原則采取額外措施：

• 優化系統提示：在 Claude 接收用戶指令之前，通過基礎系統提示指導其正確處理敏感數據和請求。
• 站點封禁：默認封禁金融服務、成人內容、盜版資源等網站。
• 可疑模式檢測：利用高級分類器識別隱藏指令或異常訪問請求，即便它們偽裝得“合情合理”。

特別針對瀏覽器攻擊（如 DOM 中隱藏的惡意字段、URL 或標簽頁注入），Claude 在 4 類挑戰測試中，將成功率從 35.7% 壓到 0%。

4.先一步做AI瀏覽器的Perplexity，已經翻車了

Claude 雖然主打“安全第一”，但評論區依舊質疑聲不斷。

一位網友直言，Claude for Chrome 正踩入“致命三合一陷阱”：

• 訪問你的私人數據：工具存在的主要目的之一。
• 暴露于不可信內容：惡意網頁文本或圖片可輕易混入
• 具備外部通信能力：可以用來竊取數據。

如果代理同時具備這三點，就很容易被攻擊者欺騙，執行私密數據的外泄。

另一位網友補刀：

 “這不是三合一，而是四合一，因為它還能主動操作，比如發郵件、轉賬。”

圖片

更巧的是，就在 Claude 插件發布的前一天，AI 搜索獨角獸 Perplexity 因 Comet 翻車登上 Hacker News 熱榜。

圖片

Comet AI 瀏覽器今年 7 月才上線，就被 Brave 實錘存在重大安全漏洞：無法區分用戶請求與潛藏惡意指令，導致“間接 Prompt 注入”。

翻車過程有多離譜？看這個真實案例，AI怎么出賣了你的用戶名和密碼：

• 誘餌：用戶在 Reddit 看帖，某條評論暗藏惡意指令（肉眼幾乎看不出）。
• 正常操作：用戶讓 Comet 總結帖子，完全合理的請求。
• AI 中招：Comet 在總結時執行隱藏指令，提取用戶的 Perplexity 登錄憑證并發送給攻擊者。

圖片

這起事件揭示了一個殘酷現實：瀏覽器 AI 一旦被“釣魚”，比郵箱詐騙更致命。

看來這一次，Claude 的大動作，是打算踩著 Perplexity 的翻車現場過河了！

5.AI 瀏覽器是大勢所趨，還是“舍近求遠”？

Anthropic 在聲明中直接給出結論：

 “AI 使用瀏覽器，是大勢所趨。” 

理由很簡單：大量工作都發生在瀏覽器中，讓 Claude 具備查看頁面、點擊按鈕、填寫表單的能力，將大幅提升其實用性。

圖片

但另一面，Hacker News 上不少開發者卻潑了冷水：

問題在于網頁的信息密度，遠低于文檔或代碼，而 LLM 最擅長的是處理高密度內容。

 一位網友直言：

幾個月前，我做過一個非常類似的擴展，支持多種模型（包括 Claude），并讓它們可以通過鼠標和鍵盤操作、觀察等工具，控制用戶的瀏覽器。這是個有趣的小項目，有助于理解這種機制是怎么運作的。

但是很明顯，這項技術目前還不夠成熟。網頁的標準表示方式（DOM、截圖等）的信息密度，比文檔或代碼低了一個數量級，而 LLM 最擅長的是處理高信息密度的內容。——要么改進網頁表示方法，要么模型得更強大。

圖片

更諷刺的是，AI 瀏覽器的路線本質上是訓練模型像人一樣點擊 UI，而不是直接用現成的機器接口（API）。

有人吐槽：

 “預訂機票的問題，API 早就解決了，但現在我們反而逼著 AI 去點按鈕。”

另一條評論則戳中悖論：

 “旅游中介機構接受培訓是為了能操作那些“機器可讀”的接口，現在 AI 代理卻被訓練去模擬人類操作消費者界面，好取代人類工作。”

圖片

效率低、風險高，但大廠依舊走這條路，原因也不難理解——用戶只認網頁，不認 API。

這和人形機器人被視為具身智能最有潛力的賽道，本質上是同一邏輯。

6.AI瀏覽器的最大變數：Chrome 歸誰？

AI 瀏覽器的競爭還沒真正開打，但一場更大的“棋局”已在醞釀。隨著美國反壟斷案進入尾聲，法官很可能要求 Google 剝離 Chrome，這意味著全球用戶量最大的瀏覽器即將易主。

資本嗅覺最靈敏。Perplexity 已拋出 345 億美元收購 Chrome 的報價，而 OpenAI CEO Sam Altman 也公開表示，愿意接手。

如果交易真的落地，AI 瀏覽器之戰將直接變成“入口之爭”，Chrome 的歸屬決定未來誰能掌握最大流量池。

如果某家 AI 公司拿下 Chrome，整個格局將瞬間重構。

最后，我們想問問，你試用過類似的產品嗎，你期待 AI 瀏覽器能幫你做什么？

你會擔心瀏覽器助手的失控風險嗎？

本文轉載自??51CTO技術棧??，作者：伊風