瀏覽器與電腦使用沙箱應隔離工作階段、檔案系統與下載、憑證、Cookie、網路存取、工具操作、螢幕截圖與錄製、日誌,以及重置狀態,以防止 AI 代理在操作網站、應用程式與檔案時,無聲無息地擴展其信任邊界。
為何瀏覽器與電腦使用代理需要沙箱
瀏覽器使用與電腦使用代理不同於一般的聊天機器人。它們不僅回答問題,還會點擊、輸入、下載檔案、讀取網頁、填寫表單,有時甚至操作完整的桌面環境。這使得執行時期成為安全模型的一部分。
僅處理文字的助手可能給出錯誤的答案。但瀏覽器或電腦使用代理可能做出錯誤的行動。它可能提交表單、將工作階段 Cookie 洩漏到日誌中、下載不安全的檔案、覆蓋工作空間、遵循隱藏在網頁中的提示注入,或在不相關的環境中使用憑證。
沙箱正是約束這些行動的地方。它應回答以下實務問題:
- 瀏覽器登入了哪個帳戶?
- 代理可以讀取或寫入哪些檔案?
- 代理可以聯絡哪些網域?
- 任務結束後,哪些 Cookie 和 Token 會保留下來?
- 哪些點擊、指令、螢幕截圖和檔案變更可以在之後檢閱?
- 任務結束時,哪些東西會被清除?
目標並非假裝沙箱能消除所有風險。目標是讓代理的運作環境變得狹窄、可觀察且可重置。當模型或工具做出錯誤決定時,爆炸半徑應僅限於你刻意暴露的工作階段與資源。
瀏覽器工作階段中需要隔離的項目
從瀏覽器設定檔開始。瀏覽器代理不應使用開發者日常的瀏覽器設定檔、個人擴充功能、已儲存的密碼、持久性的 Cookie 或未經管理的下載目錄。除非有刻意理由要共用狀態,否則應為每個任務、使用者或工作流程提供各自的設定檔邊界。
至少,應評估沙箱是否分隔了以下項目:
| 邊界 | 若無分隔可能出錯的情況 | 需檢查的重點 |
|---|---|---|
| 瀏覽器設定檔 | 代理繼承了不相關的登入資訊、擴充功能、Cookie、自動填入或瀏覽歷史。 | 每個任務或使用者的設定檔、明確的持久性規則、擴充功能控制。 |
| 工作階段生命週期 | 先前任務的狀態影響了後續任務的結果。 | 建立全新工作階段、快照還原、清理與到期行為。 |
| 分頁與視窗 | 代理讀取或點擊了錯誤環境的內容。 | 分頁範圍、活動視窗追蹤與事件日誌。 |
| 瀏覽器儲存空間 | LocalStorage、IndexedDB、快取和 Service Worker 持續保留敏感狀態。 | 儲存空間重置、匯出規則與以網域為範圍的清理。 |
| 下載 | 來自網路的檔案落在共用目錄中。 | 隔離的下載資料夾、檔案類型政策、必要時進行惡意軟體掃描工作流程。 |
將瀏覽器視為一個工作空間,而非可拋棄的 UI 包裝器。現代網頁應用程式將重要狀態儲存在 Cookie、本地儲存、快取、Service Worker、背景請求及下載的檔案中。如果沙箱僅開啟瀏覽器視窗,卻未定義這些狀態的處理方式,那麼隔離邊界就是不完整的。
對於電腦使用環境,同樣的原則擴展到瀏覽器之外。代理可能與終端機、檔案管理器、文件編輯器、本地預覽伺服器或 GUI 應用程式互動。該環境需要一個範圍明確的家目錄、清晰的掛載點,以及一種將任務產物與執行時期內部元件分離的方法。
如何處理 Cookie、帳戶與憑證
Cookie 和已登入的帳戶通常是瀏覽器自動化中最敏感的部分。擁有有效工作階段的瀏覽器代理可以執行該帳戶允許的任何操作,即使模型從未見過原始密碼。
盡可能使用專門用於代理工作的獨立帳戶。該帳戶應僅具備工作流程所需的最小權限,且沙箱應明確 Cookie 是注入的、登入過程中建立的、在執行間持續存在,還是在完成後銷毀。
憑證處理需要更嚴格的規則:切勿僅僅因為網站可能要求,就提供代理廣泛的機密資訊。應優先使用範圍明確、時效受限的 Token;每個工作流程專屬的憑證;以及仲介存取模式,讓代理呼叫狹義的工具,而非讀取原始機密。如果機密必須在沙箱內可用,請決定它應以環境變數、掛載的檔案、瀏覽器憑證或僅工具可用的形式出現。
請留意以下反模式:
- 包含個人或管理員 Cookie 的共用瀏覽器設定檔。
- 未經批准由模型貼入頁面的機密。
- 沙箱中所有工具皆可使用的 API 金鑰。
- 在完整頁面螢幕截圖或除錯日誌中擷取的工作階段 Cookie。
- 為正式環境帳戶啟用的表單自動填入。
- 長期有效憑證留存在下載檔案、Shell 歷史記錄或瀏覽器儲存中。
OWASP 針對 LLM 應用程式的指南指出,提示注入和過度代理是代理系統中反覆出現的風險。對於瀏覽器代理,這些風險直接與網路相遇:網頁可能包含試圖影響模型的指令,而模型可能擁有執行真實操作的工具。當指令遵循不足時,隔離為你提供了第二道防線。
如何控制下載、檔案與剪貼簿資料
下載是一個信任邊界。瀏覽器代理可能儲存 PDF、試算表、壓縮檔、螢幕截圖、發票、建置產物或可執行檔案。這些檔案應落在沙箱擁有的目錄中,而非共用的桌面資料夾或正式工作空間。
實務上的下載政策應涵蓋:
- 允許的檔案類型與最大檔案大小。
- 下載的檔案是否可自動開啟。
- 檔案是否能上傳至其他網站。
- 檔案的掃描、雜湊或記錄方式。
- 執行結束時從沙箱匯出哪些檔案。
- 暫存檔案的刪除方式。
對於電腦使用代理,檔案邊界更為重要,因為代理可能在工作任務中建立或修改本地檔案。編碼代理可能編輯儲存庫。資料代理可能建立圖表。瀏覽器代理可能下載 CSV、進行轉換,然後上傳結果。每個路徑都應明確:輸入檔案到達何處、工作檔案存放何處、經批准的輸出匯出至何處,以及哪些內容會被清除。
剪貼簿存取需要單獨的決策。它對於 GUI 自動化很方便,但也可能將敏感文字在不相關的應用程式之間移動。如果代理能讀取剪貼簿,它可能看到幾秒前由人類複製的 Token。如果它能寫入剪貼簿,則可能影響人類的下一個貼上操作。在敏感工作流程中,使剪貼簿存取僅限於工作階段內部,或要求跨人機邊界的操作必須獲得明確批准。
螢幕互動也有類似問題。電腦使用代理依賴螢幕截圖、無障礙功能樹或渲染的 UI 狀態進行操作。螢幕截圖可能包含私人資料、帳戶名稱、Token、文件文字或客戶記錄。請決定螢幕截圖是否保留、是否進行遮罩、是否串流至模型提供者,或是否儲存以供回放。不要將它們視為無害的除錯圖片。
如何記錄 DOM 操作、螢幕截圖與回放軌跡
瀏覽器沙箱應使操作可檢閱。當代理點擊按鈕或提交表單時,安全團隊或開發人員應能夠重建發生的事,而無需從最終結果猜測。
對於瀏覽器自動化,有用的日誌包括:
- 造訪的 URL 和來源。
- 每次操作所使用的 DOM 選擇器或無障礙功能目標。
- 輸入的文字(需遮罩機密)。
- 表單提交事件。
- 開始與完成的下載。
- 網域或端點層級的網路請求。
- 主控台錯誤和頁面錯誤。
- 敏感步驟前後的螢幕截圖檢查點。
對於電腦使用自動化,需加入工具呼叫、程序啟動、Shell 指令、檔案讀寫、視窗焦點變更以及匯出的產物。日誌應區分模型請求的內容、自動化層執行的內容,以及環境回傳的內容。在除錯提示注入、不穩定的 UI 行為或工具包裝器 bug 時,這種區分非常重要。
回放功能很有幫助,但它改變了資料保留的問題。完整的回放軌跡可能包含螢幕截圖、頁面文字、表單內容、檔案名稱、終端機輸出,以及未內建遮罩時的憑證資訊。請預先決定誰能存取回放、保留多久,以及在儲存前敏感值是否已遮罩。
細節的多寡取決於工作流程。公開的價格監控代理可能需要輕量日誌。觸碰客戶帳戶、付款頁面、基礎設施控制台或內部工具的代理則需要更強的稽核軌跡與更嚴格的保留控制。
如何設定網路、批准與重置邊界
網路存取是瀏覽器沙箱可能悄悄擴展的地方。一個任務可能從一個網站開始,然後載入第三方腳本、跟隨重新導向、呼叫 API、下載套件或存取內部網域。如果沙箱擁有廣泛的對外存取權,代理就可以將資料移動到應用程式擁有者未曾預期的地方。
對於瀏覽器與電腦使用代理,請考慮:
- 預期網路目的地的網域允許清單。
- 封鎖內部中繼資料服務與私有網路範圍。
- 對套件註冊表、物件儲存和網路搜尋採用單獨的政策。
- 需要安全審查時啟用 DNS 日誌。
- 可追溯至特定工作階段與任務的出口日誌。
人類批准應置於難以撤銷或具有法律意義的操作之前。範例包括提交購買、發送訊息、變更帳戶設定、刪除檔案、輪替憑證、邀請使用者、開啟支援單或上傳客戶資料。批准事件應擷取代理打算執行的操作、涉及的頁面或檔案,以及被批准的具體操作。
重置行為是最終的邊界。一個好的沙箱應清楚說明任務結束時會發生什麼:
| 狀態 | 重置問題 |
|---|---|
| 瀏覽器 Cookie | 是否銷毀、持久保留或建立檢查點? |
| 瀏覽器儲存空間 | 是否清除快取、LocalStorage、IndexedDB 和 Service Worker 狀態? |
| 下載 | 檔案是否刪除、保留以供審查或匯出至受控位置? |
| 憑證 | Token 是否撤銷、輪替或從環境中移除? |
| 日誌與回放 | 保留哪些內容、是否遮罩,以及保留多久? |
| 網路存取 | 是否移除暫時的允許清單或代理憑證? |
| 檔案系統 | 工作空間是否清除、快照或重複使用? |
持久性工作階段對於長時間運行的代理很有用,但持久性應是刻意為之。如果瀏覽器設定檔、檔案系統或行程狀態在運行之間存續,請記錄為何存續以及誰能重置它。
Novita 代理沙箱如何符合此評估
Novita Agent Sandbox 專為在隔離的雲端環境中執行 AI 代理工作負載而設計。產品頁面描述了對程式碼執行、瀏覽器使用、電腦使用、持久性工作階段、即時工作階段檢視以及可重複使用模板的支援。Novita Agent Sandbox 快速入門文件展示了開發者如何建立沙箱、執行指令、處理檔案以及透過 SDK 管理沙箱。
這些功能使得 Novita 在你評估瀏覽器代理、編碼代理、資料分析及長時間運行代理工作流程時具有相關性。評估仍需針對你的威脅模型進行具體分析。在使用任何沙箱提供者進行敏感的瀏覽器或電腦使用自動化之前,請確認你需要的確切行為,包括瀏覽器設定檔、Cookie、憑證注入、網路出口、螢幕截圖保留、檔案匯出、日誌以及重置語意。
對於已在使用 Novita AI 模型的團隊,實際優勢在於營運契合度:推理與代理執行可以在同一個建構平台內規劃,而非視為獨立的基礎設施決策。不過,請將產品宣傳與安全假設分開看待。沙箱可以提供有用的隔離與生命週期控制,但你的應用程式仍然需要最小權限帳戶、範圍明確的憑證、批准關卡,以及針對代理執行操作的稽核規則。
瀏覽器與電腦使用沙箱檢查清單
在授予代理存取真實網站、帳戶或桌面環境之前,請使用此檢查清單。
| 領域 | 評估問題 |
|---|---|
| 工作階段 | 每個任務是否有隔離的瀏覽器設定檔或工作空間? |
| 帳戶 | 代理是否使用最小權限帳戶,而非人類的主要帳戶? |
| Cookie | Cookie 是否設定範圍、刻意持久保留,並在重置時清除? |
| 憑證 | 機密是否範圍明確、時效受限、在日誌中遮罩,且無法被不相關的工具存取? |
| 下載 | 檔案是否在明確匯出之前,始終保留在沙箱擁有的目錄中? |
| 剪貼簿 | 代理能否讀取或寫入人類的剪貼簿,還是僅限於工作階段本機的剪貼簿? |
| 螢幕截圖 | 螢幕截圖是否保留、遮罩並設有存取控制? |
| DOM 操作 | 點擊、輸入文字、表單、選擇器和頁面來源是否都已記錄? |
| 工具呼叫 | 能否區分模型的意圖與執行的工具操作? |
| 網路 | 是否控管網域、私有範圍、套件註冊表和 DNS 行為? |
| 批准 | 哪些操作需要人類確認步驟? |
| 重置 | 執行結束後,哪些項目被清除、保留、撤銷或快照? |
| 事件檢閱 | 是否能從日誌、檔案、網路事件和回放中重建發生的事? |
常見問題
瀏覽器沙箱與電腦使用沙箱有何不同?
瀏覽器沙箱限制網頁瀏覽器的行為:哪些設定檔、Cookie 和儲存空間可用、瀏覽器可聯絡哪些網域,以及允許哪些下載。電腦使用沙箱範圍更廣,涵蓋完整的桌面環境——除了瀏覽器之外,還包括終端機存取、檔案管理器、GUI 應用程式和本地程序。兩者在重置、日誌記錄、憑證範圍化和最小權限帳戶方面有著相同的核心考量,但電腦使用環境需要對掛載目錄、剪貼簿存取、螢幕資料和程序隔離做出額外決策。
我需要為每個代理任務準備獨立的瀏覽器設定檔嗎?
在大多數情況下,答案是肯定的。跨任務共用設定檔意味著一個任務可以看到另一個任務留下的 Cookie、登入資訊、已儲存密碼和瀏覽器儲存空間。每個任務使用各自的設定檔是防止意外狀態繼承最簡單的方法。如果你的工作流程需要工作階段持久性——例如一個從中斷處繼續的長時間運行代理——請明確說明持久性,並記錄哪些狀態會繼承以及為何如此。
AI 代理能否在沙箱內安全地處理憑證?
與未受控環境相比,憑證在沙箱內更安全,但沙箱本身並不能保證憑證處理的安全性。主要風險包括過度暴露(賦予代理超出任務所需的存取權)、洩漏(憑證出現在日誌、螢幕截圖或除錯輸出中)以及持久性(Token 或 Cookie 在任務結束後仍可用)。優先使用範圍明確、時效受限的憑證;透過狹義的工具呼叫進行仲介存取,而非提供原始機密;並確認日誌和螢幕截圖在儲存前已遮罩敏感值。
如果 AI 代理下載了惡意檔案會怎樣?
沙箱的下載政策決定了爆炸半徑。如果下載被隔離到沙箱擁有的目錄、停用自動開啟,並且實施了檔案類型限制,那麼下載的檔案將無法自動執行或觸及更廣泛的檔案系統。若無這些控制,惡意檔案可能在人類審查之前執行、到達共用目錄或上傳至其他地方。請將下載視為潛在的不可信輸入,並制定明確政策,規定允許哪些檔案類型、是否可在沙箱內開啟,以及如何掃描或記錄這些檔案。
如何在瀏覽器代理中偵測提示注入?
來自網頁的提示注入在模型層級難以可靠偵測。沙箱化是主要的防禦控制之一,因為即使代理遵循了惡意指令,它也能限制代理的行為範圍。實務上的訊號包括預期外的工具呼叫或導航、超出預期網域的操作、不尋常的表單提交,以及試圖擷取或傳輸憑證或工作階段資料。良好的 DOM 操作日誌——記錄造訪了哪個頁面、針對了哪些選擇器、輸入了什麼文字——有助於重建頁面是否影響了代理的行為。
使用沙箱是否代表我的代理就是安全的?
沙箱縮小了爆炸半徑,但並未消除風險。它限制了代理能觸及的範圍以及重置後存留的內容,但無法防止不良的模型決策、配置錯誤的憑證或應用程式層級的漏洞。安全性依賴層層防護:最小權限帳戶、範圍明確的憑證、針對不可逆操作設置批准關卡、同時捕捉模型意圖與執行操作的稽核日誌,以及在敏感工作流程進入正式環境前進行人工審查。沙箱只是一個層級,而非完整的解答。
螢幕截圖和回放資料應保留多久?
保留時間取決於工作流程的敏感性以及你的稽核需求。對於觸碰個人資料、帳務系統、客戶帳戶或內部工具的代理,設定有明確的保留時間窗口,並搭配存取控制和敏感值(Token、表單內容、可見憑證)的遮罩,是一個合理的基線。對於低敏感性工作流程,較短的保留時間或僅記錄摘要可能更合適。請在部署前決定誰能存取回放、保留多久,以及如何刪除。避免將螢幕截圖視為無害的除錯產物——它們通常包含比結構化日誌更多的敏感資料。
哪些代理操作應始終需要人類批准?
難以撤銷或具有法律意義的操作是最明確的候選:購買、帳戶設定變更、檔案刪除、憑證輪替、使用者邀請、支援單提交,以及客戶或受監管資料的上傳。除此之外,考慮對以下操作要求批准:任何超出代理原始任務範圍的操作、任何在執行開始時未預期到的網域或帳戶上的操作,以及下載或執行任務並未明確要求的檔案。批准事件應記錄代理打算做什麼,以及人類明確確認了什麼。
