系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

AgentWatch:一个用于审计浏览器智能体行为安全性的开放框架

加州大学伯克利分校的一个团队从五个风险维度审计了五款主流 AI 浏览器智能体,并发布了一个开放、可容忍随机性的评分框架,任何人都可以扩展。

2026-07-04 // 6 min affects: browser-agents, ai-web-agents, browsing-assistants

这是什么?

AgentWatch 是一个面向 AI 浏览器智能体的开源评估框架,作为加州大学伯克利分校信息学院信息与网络安全硕士(MICS)的毕业项目(capstone)开发,最近一次更新为 2026 年 6 月 7 日。团队成员——Boaz Kaufman、Marisa Hall、Anya Svan、Cynthia Austin、Rutika Kushe 和 Anagha Late——审计了五款主流浏览器智能体,并公开了其评分方法与场景库。该项目获得了所在届的 Chang Award,并被 Adversa AI 的 2026 年 7 月智能体安全综述收录,列为当月值得关注的防御性资源之一。

其前提很简单,一旦说出便难以忽视:浏览器智能体可以读取你的屏幕、填写你的表单、代表你在开放网络上采取行动,而用户几乎无从得知某个具体智能体在做这些事时的安全程度如何。AgentWatch 试图把这一盲区变成可度量的东西。

工作原理

与传统聊天机器人不同,浏览器智能体会在它并未编写、也无法完全信任的页面上自主采取行动。这打开了一个逐条消息式安全过滤器从未设计去覆盖的风险面。AgentWatch 从五个维度对智能体评分:非预期的数据泄露、指令误解、幻觉、提示注入,以及浏览器沙箱隔离。它们共同涵盖了智能体泄露不该泄露的信息、遵循不该遵循的指令、或越出本应停留边界而行动的各条路径。

其方法论贡献在于评分本身。智能体的行为是随机的——同一场景运行两次,可能得到两种不同结果——因此单次运行几乎说明不了什么。AgentWatch 的框架被明确设计为对这种方差进行调整,而不是把某次幸运(或不幸)的运行当作绝对真相,这使得不同智能体之间的分数具有可比性。评估基础设施与场景库均为开源,并为持续扩充而设计,以便随着领域发展纳入新的攻击场景和新的智能体。团队提供了一个公开平台和一个项目仓库,供他人复现运行并贡献测试用例,而不是让人对这些数字全盘照收。

为何重要

浏览器智能体被接入日常产品的速度,快于任何人就”如何衡量其安全性”达成共识的速度。买家往往只能比较营销说辞,因为对于”当一个页面试图操纵它时,这个智能体表现如何”这一问题,并不存在一把公认的标尺。一个开放、可复现、能容忍运行间方差的框架,正是该领域一直缺失的共同参照——它更接近面向消费者的安全台架测试,而非一次性的红队报告。

这五个维度也与浏览器智能体事件中反复出现的失效模式清晰对应:通过智能体自身行动进行的数据外泄、隐藏在页面内容中的注入指令,以及逃逸出预期沙箱的行动。围绕这些类别来搭建评估框架,并让场景可共享,能让防御者就具体、可测试的行为展开讨论,而非停留在含糊的保证上。

防御措施

向供应商索取行为表现,而非形容词。 把”它在数据泄露、提示注入和沙箱隔离上的表现如何”当作采购问题,并要求可复现的证据,而不是一个安全标签。

在方差下测试,而非只测一次。 由于智能体行为是随机的,单次通过几乎证明不了什么。对同一场景运行多次并观察其分布——这正是 AgentWatch 评分所围绕的核心思想。

覆盖整个风险面。 提示注入在这里只是五个维度之一。非预期的数据泄露、指令误解、幻觉和沙箱隔离各自需要专属场景;只检查最后一条指令的防护会漏掉其中大多数。

贡献并复用开放场景。 共享、可扩展的场景库胜过私有的一次性测试。采用并扩展一个开放框架,意味着你的覆盖范围随社区一同增长,而非孤立地陈旧下去。

限制智能体的影响半径。 在评分之外,限制浏览器智能体能读取什么、能把数据发往何处、能执行什么——使得任一维度上的失效都能被控制在一定范围内。

状态

项目参考备注
项目AgentWatchMICS 毕业项目,加州大学伯克利分校信息学院(Cyber 295,2026 年春季)
团队同一页面Kaufman、Hall、Svan、Austin、Kushe、Late;Chang Award 获奖者
范围同一页面五款浏览器智能体;五个维度,含提示注入与沙箱隔离
方法同一页面针对智能体随机性进行调整的定制评分
产出物项目仓库/平台开源的评估基础设施与场景库
外部提及Adversa AI 综述,2026 年 7 月 2 日被列入 2026 年 7 月智能体安全资源之中

真正持久的启示不是一个排行榜,而是一种方法:浏览器智能体的安全性是可度量的,必须从若干个不同维度去度量,而且——因为这些系统是随机的——必须反复度量,用一套顾及方差的评分,而不是依赖单次运行。

Sources