Browser agent 的危險在於,它不只是讀網頁,還可能點擊、登入、下載、填表、提交資料。
AWS 說明可在 Amazon Bedrock AgentCore Browser 中使用 Chrome enterprise policies 控制 AI agents 可瀏覽的網站與行為。這看起來像 IT 管理細節,但對企業 agent 安全很關鍵。
為什麼 browser agent 需要政策?
一般人上網會用判斷力避開可疑網站,但 AI agent 可能被頁面內容誘導。
風險包括:
- Prompt injection。
- 釣魚頁面。
- 錯誤資料來源。
- 不該下載的檔案。
- 跨站資料外洩。
- 用錯帳號登入。
- 把內部資料貼到外部網站。
Chrome enterprise policies 可把 agent 的 web surface 變小。
可以控管哪些方向?
| 控制方向 | 用途 |
|---|---|
| Allowlist | 只允許 agent 進入指定網站 |
| Blocklist | 禁止特定網域 |
| Download restrictions | 避免下載未知檔案 |
| Extension policy | 限制瀏覽器擴充 |
| Cookie/session | 控制登入狀態 |
| Safe browsing | 降低釣魚與惡意網站風險 |
對企業 agent 來說,allowlist 通常比 blocklist 更安全。與其讓 agent 瀏覽整個網路,再封掉壞網站,不如只允許它進入工作需要的系統。
適合哪些場景?
內部系統自動化
例如 HR、ERP、CRM、ticketing system。Agent 只需要進公司內部網域或指定 SaaS。
合規資料查詢
若 agent 只應讀特定監管網站、供應商網站或資料庫,可以用 allowlist 限制來源。
測試環境操作
讓 agent 在 staging 環境測 UI,不讓它碰 production 網站。
客服後台輔助
Agent 可查客戶訂單,但不能連到外部未核准網站。
政策不能解決所有事
Chrome policies 是瀏覽器層控制,不是完整 agent 安全。
還需要:
- Agent identity。
- IAM 或應用層權限。
- Tool allowlist。
- Prompt injection 防護。
- Data loss prevention。
- Audit log。
- Human approval。
- Session-level spending 或操作限制。
如果 agent 本身權限過大,只限制瀏覽網域仍然不夠。
導入清單
- 先列出 agent 必須瀏覽的網站。
- 預設封鎖未知網域。
- 建立 allowlist。
- 關閉不必要下載。
- 限制 extension。
- 分開測試與 production 登入狀態。
- 記錄所有瀏覽與表單提交。
- 對高風險操作加 human approval。
Browser agent 應該像受管員工端點,而不是無限制瀏覽器。
結論
AgentCore Browser 支援 Chrome enterprise policies,代表 browser agent 正式進入企業端點治理邏輯。
能上網的 agent 必須被限制。Allowlist、下載限制、session 管理與 audit log 不是繁文縟節,而是避免 agent 被網頁操控或把資料帶出去的基本防線。
企業要把 browser agent 上 production,第一步不是讓它會點,而是先決定它不能去哪裡、不能做什麼。