- Por Que Agentes de Navegador e Uso de Computador Precisam de um Sandbox
- O Que Isolar Em Uma Sessão de Navegador
- Como Lidar com Cookies, Contas e Credenciais
- Como Conter Downloads, Arquivos e Dados da Área de Transferência
- Como Registrar Ações DOM, Capturas de Tela e Trilhas de Reprodução
- Como Definir Limites de Rede, Aprovação e Redefinição
- Como o Novita Agent Sandbox se Encaixa Nesta Avaliação
- Lista de Verificação de Sandbox de Navegador e Uso de Computador
- FAQ
- Artigos Recomendados
Sandboxes de navegador e uso de computador devem isolar sessões, sistema de arquivos e downloads, credenciais, cookies, acesso à rede, ações de ferramentas, capturas de tela e gravações, logs e estado de redefinição, para que agentes de IA não possam expandir silenciosamente seu limite de confiança ao operar sites, aplicativos e arquivos.
Por Que Agentes de Navegador e Uso de Computador Precisam de um Sandbox
Agentes de uso de navegador e uso de computador são diferentes de chatbots comuns. Eles não apenas respondem a uma pergunta; eles clicam, digitam, baixam arquivos, leem páginas da web, preenchem formulários e, às vezes, operam um ambiente completo do tipo desktop. Isso torna o tempo de execução parte do modelo de segurança.
Um assistente apenas de texto pode produzir uma resposta ruim. Um agente de navegador ou uso de computador pode realizar uma ação ruim. Pode enviar um formulário, vazar um cookie de sessão para um log, baixar um arquivo inseguro, sobrescrever um espaço de trabalho, seguir uma injeção de prompt oculta em uma página da web ou usar uma credencial em um contexto onde não deveria estar disponível.
O sandbox é o lugar onde essas ações são restringidas. Ele deve responder a perguntas práticas como:
- Em qual conta o navegador está logado?
- Quais arquivos o agente pode ler ou escrever?
- Quais domínios o agente pode contactar?
- Quais cookies e tokens persistem após a tarefa?
- Quais cliques, comandos, capturas de tela e alterações de arquivo podem ser revisados posteriormente?
- O que é destruído quando a tarefa termina?
O objetivo não é fingir que um sandbox remove todos os riscos. O objetivo é tornar o ambiente operacional do agente estreito, observável e redefinível. Quando um modelo ou ferramenta toma a decisão errada, o raio de explosão deve ser limitado à sessão e aos recursos que você expôs intencionalmente.
O Que Isolar Em Uma Sessão de Navegador
Comece com o perfil do navegador. Um agente de navegador não deve usar o perfil de navegador diário de um desenvolvedor, extensões pessoais, senhas salvas, cookies persistentes ou um diretório de download não gerenciado. Dê a cada tarefa, usuário ou fluxo de trabalho seu próprio limite de perfil, a menos que haja uma razão deliberada para compartilhar estado.
No mínimo, avalie se o sandbox separa:
| Limite | O que pode dar errado sem ele | O que verificar |
|---|---|---|
| Perfil do navegador | O agente herda logins, extensões, cookies, preenchimento automático ou histórico de navegação não relacionados. | Perfis por tarefa ou por usuário, regras explícitas de persistência, controles de extensão. |
| Ciclo de vida da sessão | O estado de uma tarefa anterior altera o resultado da próxima tarefa. | Criação de nova sessão, restauração de instantâneo, comportamento de limpeza e expiração. |
| Abas e janelas | O agente lê ou clica em conteúdo do contexto errado. | Escopo de abas, rastreamento de janela ativa e logs de eventos. |
| Armazenamento do navegador | LocalStorage, IndexedDB, cache e service workers persistem estado sensível. | Redefinição de armazenamento, regras de exportação e limpeza com escopo de domínio. |
| Downloads | Arquivos da web caem em um diretório compartilhado. | Pasta de download isolada, política de tipo de arquivo, fluxo de trabalho de verificação de malware quando necessário. |
Trate o navegador como um espaço de trabalho, não um invólucro de UI descartável. Aplicativos web modernos mantêm estado significativo em cookies, armazenamento local, caches, service workers, requisições em segundo plano e arquivos baixados. Se o sandbox apenas abrir uma janela do navegador, mas não definir o que acontece com esse estado, o limite de isolamento está incompleto.
Para ambientes de uso de computador, o mesmo princípio se estende além do navegador. O agente pode interagir com um terminal, gerenciador de arquivos, editor de documentos, servidor de pré-visualização local ou aplicativo GUI. Esse ambiente precisa de um diretório home com escopo, pontos de montagem claros e uma maneira de separar artefatos de tarefas de componentes internos do tempo de execução.
Como Lidar com Cookies, Contas e Credenciais
Cookies e contas logadas são frequentemente a parte mais sensível da automação de navegador. Um agente de navegador com uma sessão válida pode executar tudo o que a conta tem permissão para fazer, mesmo que o modelo nunca veja a senha bruta.
Use uma conta separada para o trabalho do agente quando possível. A conta deve ter as permissões mínimas necessárias para o fluxo de trabalho, e o sandbox deve deixar claro se os cookies são injetados, criados durante o login, persistidos entre execuções ou destruídos após a conclusão.
O manuseio de credenciais precisa de uma regra mais estrita: nunca dê ao agente segredos amplos apenas porque um site pode solicitá-los. Prefira tokens com escopo e tempo limitados; credenciais por fluxo de trabalho; e acesso intermediado onde o agente chama uma ferramenta estreita em vez de ler um segredo bruto. Se um segredo deve estar disponível dentro do sandbox, decida se ele aparece como uma variável de ambiente, arquivo montado, credencial do navegador ou capacidade apenas de ferramenta.
Fique atento a esses antipadrões:
- Um perfil de navegador compartilhado com cookies pessoais ou de administrador.
- Segredos colados em uma página pelo modelo sem aprovação.
- Chaves de API disponíveis para todas as ferramentas no sandbox.
- Cookies de sessão capturados em capturas de tela de página inteira ou logs de depuração.
- Preenchimento automático de formulários habilitado para contas de produção.
- Credenciais de longa duração deixadas em arquivos baixados, histórico do shell ou armazenamento do navegador.
A orientação da OWASP para aplicações LLM destaca injeção de prompt e agência excessiva como riscos recorrentes em sistemas de agentes. Para agentes de navegador, esses riscos encontram a web diretamente: uma página pode conter instruções que tentam influenciar o modelo, e o modelo pode ter ferramentas que realizam ações reais. O isolamento oferece uma segunda linha de defesa quando o seguimento de instruções não é suficiente.
Como Conter Downloads, Arquivos e Dados da Área de Transferência
Downloads são um limite de confiança. Um agente de navegador pode salvar PDFs, planilhas, arquivos, capturas de tela, faturas, artefatos de build ou arquivos executáveis. Esses arquivos devem cair em um diretório de propriedade do sandbox, não em uma pasta de desktop compartilhada ou espaço de trabalho de produção.
Uma política de download prática deve cobrir:
- Tipos de arquivo permitidos e tamanho máximo de arquivo.
- Se os arquivos baixados podem ser abertos automaticamente.
- Se os arquivos podem ser enviados para outro site.
- Como os arquivos são verificados, hashados ou registrados.
- Quais arquivos são exportados do sandbox no final da execução.
- Como os arquivos temporários são excluídos.
Para agentes de uso de computador, os limites de arquivo são ainda mais importantes porque o agente pode criar ou modificar arquivos locais como parte da tarefa. Um agente de codificação pode editar um repositório. Um agente de dados pode criar gráficos. Um agente de navegador pode baixar um CSV, transformá-lo e enviar um resultado. Cada caminho deve ser explícito: onde as entradas chegam, onde os arquivos de trabalho residem, onde as saídas aprovadas são exportadas e o que é limpo.
O acesso à área de transferência merece sua própria decisão. É conveniente para automação GUI, mas também pode mover texto sensível entre aplicativos não relacionados. Se o agente pode ler a área de transferência, pode ver um token copiado por um humano alguns segundos antes. Se pode escrever na área de transferência, pode afetar a próxima ação de colar do humano. Em fluxos de trabalho sensíveis, torne o acesso à área de transferência local à sessão ou exija aprovação explícita antes de cruzar o limite humano-sandbox.
A interação com a tela tem um problema semelhante. Agentes de uso de computador trabalham a partir de capturas de tela, árvores de acessibilidade ou estado de UI renderizado. Capturas de tela podem incluir dados privados, nomes de conta, tokens, texto de documentos ou registros de clientes. Decida se as capturas de tela são retidas, editadas, transmitidas para um provedor de modelo ou armazenadas para reprodução. Não as trate como imagens de depuração inofensivas.
Como Registrar Ações DOM, Capturas de Tela e Trilhas de Reprodução
Um sandbox de navegador deve tornar as ações revisáveis. Quando um agente clica em um botão ou envia um formulário, uma equipe de segurança ou desenvolvedor deve ser capaz de reconstruir o que aconteceu sem adivinhar a partir do resultado final.
Para automação de navegador, logs úteis incluem:
- URL e origem visitados.
- Seletor DOM ou alvo de acessibilidade usado para cada ação.
- Texto digitado, com redação de segredos.
- Eventos de envio de formulário.
- Downloads iniciados e concluídos.
- Requisições de rede no nível de domínio ou endpoint.
- Erros de console e erros de página.
- Pontos de verificação de captura de tela antes ou depois de etapas sensíveis.
Para automação de uso de computador, adicione chamadas de ferramenta, inicializações de processo, comandos de shell, leituras e escritas de arquivo, mudanças de foco de janela e artefatos exportados. O log deve distinguir o que o modelo solicitou, o que a camada de automação executou e o que o ambiente retornou. Essa distinção é importante ao depurar injeção de prompt, comportamento de UI instável ou um bug no invólucro da ferramenta.
A reprodução é útil, mas altera a questão de retenção de dados. Uma trilha de reprodução completa pode incluir capturas de tela, texto de página, conteúdo de formulário, nomes de arquivo, saída de terminal e credenciais, a menos que a redação seja incorporada. Decida antecipadamente quem pode acessar as reproduções, por quanto tempo elas são retidas e se valores sensíveis são mascarados antes do armazenamento.
O nível certo de detalhe depende do fluxo de trabalho. Um agente público de monitoramento de preços pode precisar de logs leves. Um agente que toca em contas de clientes, páginas de faturamento, consoles de infraestrutura ou ferramentas internas precisa de trilhas de auditoria mais fortes e controles de retenção mais rigorosos.
Como Definir Limites de Rede, Aprovação e Redefinição
O acesso à rede é onde um sandbox de navegador pode se expandir silenciosamente. Uma tarefa pode começar com um site, depois carregar scripts de terceiros, seguir redirecionamentos, chamar APIs, baixar pacotes ou alcançar domínios internos. Se o sandbox tiver acesso de saída amplo, o agente pode mover dados para lugares que o proprietário do aplicativo não esperava.
Para agentes de navegador e uso de computador, considere:
- Listas de permissão de domínio para destinos web esperados.
- Bloqueios para serviços de metadados internos e faixas de rede privada.
- Política separada para registros de pacotes, armazenamento de objetos e pesquisa web.
- Registro de DNS onde a revisão de segurança exigir.
- Logs de saída que podem ser vinculados de volta a uma sessão e tarefa.
A aprovação humana deve ficar na frente de ações que são difíceis de desfazer ou legalmente significativas. Exemplos incluem enviar compras, enviar mensagens, alterar configurações de conta, excluir arquivos, rotacionar credenciais, convidar usuários, abrir tickets de suporte ou enviar dados de clientes. O evento de aprovação deve capturar o que o agente pretende fazer, a página ou arquivo envolvido e a ação exata aprovada.
O comportamento de redefinição é o limite final. Um bom sandbox deve tornar óbvio o que acontece quando uma tarefa termina:
| Estado | Pergunta de redefinição |
|---|---|
| Cookies do navegador | Eles são destruídos, persistidos ou registrados como ponto de verificação? |
| Armazenamento do navegador | O cache, armazenamento local, IndexedDB e estado do service worker são limpos? |
| Downloads | Os arquivos são excluídos, retidos para revisão ou exportados para um local controlado? |
| Credenciais | Os tokens são revogados, rotacionados ou removidos do ambiente? |
| Logs e reprodução | O que é retido, editado e por quanto tempo? |
| Acesso à rede | Listas de permissão temporárias ou credenciais de proxy são removidas? |
| Sistema de arquivos | O espaço de trabalho é limpo, instantâneo ou reutilizado? |
Sessões persistentes são úteis para agentes de longa duração, mas a persistência deve ser intencional. Se um perfil de navegador, sistema de arquivos ou estado de processo sobreviver entre execuções, documente por que persiste e quem pode redefini-lo.
Como o Novita Agent Sandbox se Encaixa Nesta Avaliação
O Novita Agent Sandbox é projetado para executar cargas de trabalho de agente de IA em ambientes de nuvem isolados. A página do produto descreve suporte para execução de código, uso de navegador, uso de computador, sessões persistentes, visualização de sessão ao vivo e modelos reutilizáveis. A documentação de início rápido do Novita Agent Sandbox mostra como os desenvolvedores podem criar um sandbox, executar comandos, trabalhar com arquivos e gerenciar um sandbox através de SDKs.
Essas capacidades tornam a Novita relevante quando você está avaliando fluxos de trabalho de agente de navegador, agente de codificação, análise de dados e agente de longa duração. A avaliação ainda precisa ser específica para o seu modelo de ameaça. Antes de usar qualquer provedor de sandbox para automação sensível de navegador ou uso de computador, confirme o comportamento exato que você precisa em relação a perfis de navegador, cookies, injeção de credenciais, saída de rede, retenção de capturas de tela, exportação de arquivos, logs e semântica de redefinição.
Para equipes que já usam modelos Novita AI, a vantagem prática é o ajuste operacional: inferência e execução de agente podem ser planejadas dentro da mesma plataforma de construção em vez de tratadas como decisões de infraestrutura separadas. No entanto, mantenha as alegações do produto separadas das suposições de segurança. Um sandbox pode fornecer isolamento útil e controles de ciclo de vida, mas seu aplicativo ainda precisa de contas com privilégios mínimos, credenciais com escopo, portões de aprovação e regras de auditoria para as ações que seu agente executa.
Lista de Verificação de Sandbox de Navegador e Uso de Computador
Use esta lista de verificação antes de dar a um agente acesso a um site real, conta ou espaço de trabalho do tipo desktop.
| Área | Pergunta de avaliação |
|---|---|
| Sessão | Cada tarefa recebe um perfil de navegador ou espaço de trabalho isolado? |
| Contas | O agente está usando uma conta de privilégios mínimos em vez da conta principal de um humano? |
| Cookies | Os cookies têm escopo, são persistidos intencionalmente e limpos na redefinição? |
| Credenciais | Os segredos têm escopo, são limitados no tempo, editados em logs e indisponíveis para ferramentas não relacionadas? |
| Downloads | Os arquivos permanecem dentro de um diretório de propriedade do sandbox até serem explicitamente exportados? |
| Área de transferência | O agente pode ler ou escrever na área de transferência do humano, ou apenas em uma área de transferência local da sessão? |
| Capturas de tela | As capturas de tela são retidas, editadas e controladas por acesso? |
| Ações DOM | Cliques, texto digitado, formulários, seletores e origens de página são registrados? |
| Chamadas de ferramenta | Você pode separar a intenção do modelo da ação de ferramenta executada? |
| Rede | Domínios, faixas privadas, registros de pacotes e comportamento de DNS são controlados? |
| Aprovação | Quais ações exigem uma etapa de confirmação humana? |
| Redefinição | O que exatamente é limpo, retido, revogado ou instantâneo após a execução? |
| Revisão de incidente | Você pode reconstruir o que aconteceu a partir de logs, arquivos, eventos de rede e reprodução? |
FAQ
Qual é a diferença entre um sandbox de navegador e um sandbox de uso de computador?
Um sandbox de navegador restringe o que um navegador web pode fazer: quais perfis, cookies e armazenamento estão disponíveis, quais domínios o navegador pode contatar e quais downloads são permitidos. Um sandbox de uso de computador é mais amplo e cobre um ambiente completo do tipo desktop — acesso ao terminal, gerenciadores de arquivos, aplicativos GUI e processos locais, além do navegador. Ambos compartilham as mesmas preocupações centrais em torno de redefinição, registro, escopo de credenciais e contas com privilégios mínimos, mas ambientes de uso de computador exigem decisões adicionais sobre diretórios montados, acesso à área de transferência, dados de tela e isolamento de processo.
Preciso de um perfil de navegador separado para cada tarefa do agente?
Na maioria dos casos, sim. Compartilhar um perfil entre tarefas significa que uma tarefa pode ver cookies, logins, senhas salvas e armazenamento do navegador deixados por outra. Perfis por tarefa são a maneira mais simples de evitar transferência não intencional de estado. Se seu fluxo de trabalho exigir persistência de sessão — por exemplo, um agente de longa duração que retoma de onde parou — torne a persistência explícita e documente exatamente qual estado é transferido e por quê.
Os agentes de IA podem lidar com credenciais com segurança dentro de um sandbox?
Credenciais são mais seguras dentro de um sandbox do que em um ambiente não controlado, mas o sandbox sozinho não torna o manuseio de credenciais seguro. Os principais riscos são superexposição (dar ao agente mais acesso do que a tarefa exige), vazamento (credenciais aparecendo em logs, capturas de tela ou saída de depuração) e persistência (tokens ou cookies permanecendo disponíveis após a tarefa terminar). Prefira credenciais com escopo e tempo limitados; intermediar o acesso através de chamadas de ferramenta estreitas em vez de segredos brutos; e confirme que logs e capturas de tela editam valores sensíveis antes do armazenamento.
O que acontece se um agente de IA baixar um arquivo malicioso?
A política de download do sandbox determina o raio de explosão. Se os downloads forem isolados em um diretório de propriedade do sandbox, a abertura automática estiver desabilitada e as restrições de tipo de arquivo estiverem em vigor, um arquivo baixado não pode ser executado automaticamente ou atingir o sistema de arquivos mais amplo. Sem esses controles, um arquivo malicioso poderia ser executado, atingir diretórios compartilhados ou ser enviado para outro lugar antes que um humano o revise. Trate os downloads como entrada potencialmente não confiável e defina políticas explícitas para quais tipos de arquivo são permitidos, se podem ser abertos dentro do sandbox e como são verificados ou registrados.
Como detecto injeção de prompt em um agente de navegador?
A injeção de prompt de uma página da web é difícil de detectar de forma confiável na camada do modelo. O sandbox é um dos principais controles defensivos porque limita o que o agente pode fazer, mesmo que uma instrução maliciosa seja seguida. Sinais práticos incluem chamadas de ferramenta ou navegações inesperadas, ações fora do domínio pretendido, envios de formulário incomuns e tentativas de recuperar ou transmitir credenciais ou dados de sessão. Bons logs de ação DOM — registrando qual página foi visitada, quais seletores foram alvo e qual texto foi digitado — facilitam a reconstrução de se uma página influenciou o comportamento do agente.
Usar um sandbox significa que meu agente está seguro?
Um sandbox estreita o raio de explosão, mas não elimina o risco. Ele restringe o que o agente pode alcançar e o que sobrevive a uma redefinição, mas não impede más decisões do modelo, credenciais mal configuradas ou vulnerabilidades em nível de aplicativo. A segurança depende de controles em camadas: contas com privilégios mínimos, credenciais com escopo, portões de aprovação para ações irreversíveis, logs de auditoria que capturam a intenção do modelo e as ações executadas, e revisão humana antes que fluxos de trabalho sensíveis cheguem à produção. Um sandbox é uma camada, não a resposta completa.
Por quanto tempo as capturas de tela e os dados de reprodução devem ser retidos?
A retenção depende da sensibilidade do fluxo de trabalho e dos seus requisitos de auditoria. Para agentes que tocam em dados pessoais, sistemas de faturamento, contas de clientes ou ferramentas internas, uma janela de retenção definida com controles de acesso e edição de valores sensíveis (tokens, conteúdo de formulário, credenciais visíveis) é uma linha de base razoável. Para fluxos de trabalho de baixa sensibilidade, retenção mais curta ou registro apenas de resumo pode ser apropriado. Decida antes da implantação quem pode acessar as reproduções, por quanto tempo são mantidas e como são excluídas. Evite tratar capturas de tela como artefatos de depuração inofensivos — elas geralmente contêm mais dados sensíveis do que logs estruturados.
Quais ações do agente devem sempre exigir aprovação humana?
Ações que são difíceis de reverter ou legalmente significativas são os candidatos mais claros: compras, alterações de configuração de conta, exclusões de arquivo, rotação de credenciais, convites de usuário, envios de ticket de suporte e uploads de dados de clientes ou regulamentados. Além disso, considere exigir aprovação para qualquer ação fora do escopo original da tarefa do agente, qualquer ação em um domínio ou conta não antecipada no início da execução e qualquer download ou execução de arquivos que a tarefa não exigiu explicitamente. O evento de aprovação deve registrar o que o agente pretendia fazer e o que o humano confirmou explicitamente.
