新版｜2025 企业安全最后一公里：智能体浏览器

引言：智能体浏览器的兴起

浏览器正在经历自问世以来最深刻的变革。随着 OpenAI、谷歌和 Perplexity 最新布局，浏览器正演变为一个智能体平台，成为一个关键的攻击面。它正日益成为一个用户以自然语言表达意图，AI 智能体代替人类执行任务的环境。智能体浏览器通过集成大模型、API 和记忆功能，实现跨多个站点的信息总结、内容合成、只能搜索、表单填写等操作，彻底取代传统手动点击模式。越来越多的智能体通过浏览器成为互联网的主要用户，这将从根本上改变互联网上信任机制、数据流动和控制权的分配方式。

这种格局已经初现端倪：

OpenAI 的 Operator 旨在将 Chromium 转变为一个 AI 优先的研究/任务引擎。据悉该团队正在开发 Opera 的 Neon项目，试验性探索通过本地AI智能体进行创意任务。
Google 的 DeepMind Mariner 计划将 Gemini 融入 Chrome，实现多标签页编排和上下文编辑。
Perplexity 的 Comet 已经是活跃度最高的智能体浏览器，它摒弃了搜索，转而采用智能体直接驱动结果输出。与此同时，Dia、Fellou 和 Nanobrowser 等初创企业正在推动记忆驱动、高度自动化的浏览体验。这些举措标志着浏览器正在演变为AI经济的核心操作层。

这一时间节点的选择并非偶然。2025年，所有主要AI厂商竞相争夺浏览器控制权，正是源于其独特的战略价值。作为使用最频繁的企业级应用，浏览器成为用户行为、工作流程和数据存储的核心入口。数据引力效应在此显现出关键作用：浏览器持续产生丰富的交互数据流，这些数据可用于持续训练和优化模型。掌控浏览器意味着获得了这些数据的第一方访问权限。

我们预测，到 2026 年初，智能体浏览器将成为大多数消费者的主流使用模式。随着智能体浏览器的出现，用户的注意力将从传统应用转移到提示词驱动的工作流程中，这将重新定义操作系统的概念。谁控制了浏览器，谁就控制了用户的数字环境、数据资产，乃至日益重要的工作流程——这使得浏览器既是最有价值的界面，也是最危险的安全盲区。

智能体时代的安全要务

正如传统浏览器成为企业安全中的“最后一公里”盲区一样，智能体浏览器有可能成为AI时代数字基础设施中新的最薄弱环节。它们在没有人类判断的情况下模仿人类用户，如果任其不受监管，它们可能会以机器速度自动执行错误并窃取敏感数据。

智能体浏览器因其所具备的功能而强大，但也因此带来了全新的攻击面，这些攻击面与我们过去讨论过的AI安全风险相似（例如本报告中关于保护AI/LLMs 的内容）。与人类相比，AI智能体面临的风险是，它们可能通过传统防御无法察觉的机制被欺骗、胁迫或劫持。例如：

提示注入和 UI 陷阱：恶意构造的指令或隐藏页面元素，可诱导智能体执行危险操作。
跨域和插件攻击：智能体调用的第三方 API 或扩展会成为供应链漏洞的突破口。
记忆滥用和数据泄露：智能体在会话之间保留和复用敏感信息时，会出现内存滥用和数据泄露等其他问题。

如果企业能够通过可见性、控制措施和集成防护来强化智能体浏览器，便能在规避风险的情况下，充分利用AI的优势。本次我与企业浏览器扩展安全公司 LayerX Security 合作，探讨浏览器为何日益成为安全核心阵地，以及浏览器如何成为安全防御的“最后一公里”。本报告旨在向技术从业者和网络安全从业者普及这一新兴的风险领域。

以下报告为希望保护企业浏览器的安全负责人和工程师提供了框架和实施指南。目前，Perplexity、Opera 和 Gemini 浏览器尚未完全普及，因此本报告侧重于当前的企业浏览器，并探讨了现有安全控制对其的局限性。请参阅下面的完整报告。

浏览器成为企业安全新前沿

在过去几年中，网络浏览器已转变为员工的主要工作平台。随着混合办公模式和云技术的普及，超过 85% 的工作时间都在浏览器中通过 SaaS 和 Web 应用中进行。员工通过浏览器标签页访问企业邮件、客户数据和关键应用——而且通常发生在家庭或移动设备等公司网络之外的设备上。

事实上，90% 的企业允许员工通过个人设备（BYOD）访问公司数据，将工作扩展到受管控端点之外。企业必须将智能体浏览器视为威胁模型中的一级参与者，将安全嵌入到浏览器和智能体层本身。

这种转变极大地提升了生产力和灵活性，但也史无前例地扩大了攻击面。浏览器已然成为企业 IT 的“最后一公里”——即用户与互联网之间的最终接口，而攻击者也已注意到这一点。

尽管企业在安全工具（从下一代防火墙到零信任云网关）上投入了大量资金，但浏览器仍然是安全防护体系中一个明显的盲区。传统防御措施——如安全网页网关（SWG）、云访问安全代理（CASB）、端点检测与响应（EDR）和数据防泄漏（DLP）平台等各自覆盖了部分风险，但在用户与网络内容交互的“最后一公里”仍然存在防护缺口。攻击者正在积极利用这一盲区：95% 的企业报告曾遭受基于浏览器的网络攻击，这表明几乎每家公司都曾通过浏览器遭遇威胁。无论是“路过式”恶意软件下载、恶意浏览器扩展，还是通过网络应用无意中共享敏感数据，这些事件都印证了一个令人不安的事实：“浏览器已成为企业最大的不安全入口”。

真实案例

2024 年，某金融机构的首席信息安全官（CISO）震惊地发现，一名员工在自己的个人笔记本电脑上无意中安装了一个恶意 Chrome 扩展。该扩展在数月内悄悄窃取公司数据和身份验证 Cookie，现有的安全工具（CASB 和端点杀毒软件）全程未告警，因为数据泄露完全发生在浏览器域内——这是一个典型的“最后一公里”盲区。直到其某主要客户的数据在暗网被发现后，该公司才将此次泄露追溯到这个看似无害的插件。类似的故事在各行各业中屡见不鲜。

安全负责人开始提出一些棘手的问题：我们如何在不影响生产力的情况下，保护无文件数据和 SaaS 应用这一新领域中的企业数据？如何将零信任原则扩展到用户可以在工作和个人网络应用之间无缝切换的环境中？

答案需要我们重新审视方法。本指南将直接应对这一挑战，将浏览器重新定义为关键风险领域和机遇。通过将浏览器安全视为首要任务，企业可以弥补其安全服务边缘 (SSE)、SWG、CASB、EDR 和 DLP 策略中的缺口。我们将探讨浏览器安全的实用成熟度模型，并为安全负责人提供实施路线图，以系统地阐明、控制并将其整合到更广泛的纵深防御体系中。

生成式AI：企业浏览器安全的催化剂

推动采用基于浏览器的安全防护措施的另一个关键因素是生成式 AI 的普及。与 2020 年相比，2025 年企业将 AI 作为竞争优势的竞赛全面加速。对于旨在利用生成式 AI 的公司来说，他们正面临一个悖论：赋能员工进行头脑风暴、编写代码和起草文档的同一个浏览器标签页，也已成为敏感数据逃离企业控制的最短路径。

与早期的 SaaS 或移动软件趋势不同，LLM 接口邀请用户将原始源代码、客户记录或战略路线图直接粘贴到第三方算法中，而该算法的训练语料库不透明，数据保留策略也可能发生变化。本质上，每段提示词都是一次未经授权的 API 调用，而传统的边界安全工具根本无法追踪数据负载经过 TLS 并在 DOM 中呈现后会落在何处。正因如此，安全设计型企业浏览器控制已成为 AI 时代治理的领先控制点（具备细粒度复制粘贴 DLP、提示词审查、扩展审查、身份感知、会话隔离和实时风险评分等功能）。

控制要务

企业级浏览器和安全级浏览器扩展具备填补这一空白的独特优势，通过内联方式部署，能够实现：

1.在数据传输前进行指纹识别和分类。

2.对剪贴板、上传、下载和提示词输入框实施基于身份感知的精细化管控策略；

3.对高价值数据属性实施实时掩码或令牌化处理；以及

4.将丰富后的遥测数据传输到 SIEM、XDR 和数据分类引擎。

根据软件分析师的研究，我们发现董事会已经在向首席信息安全官施压，要求他们提供证据，证明输入到 AI 系统中的机密信息不会在公共训练集、司法传票或内部窃密活动中出现；浏览器原生控制机制既能提供防护栏，又能生成审计轨迹，正是这一问题的解决方案。

由于 DLP、SWG、CASB 和 EDR 等解决方案已被证实无法全面应对此类风险，企业将目光转向浏览器安全。我们相信，通过将浏览器从被动渲染引擎升级为主动零信任哨兵，安全团队可以在不破坏用户体验的情况下重新夺回“最后一公里”——在保留创新的同时，消除风险最高的泄露路径。生成式 AI 可能会缩短创造力与安全漏洞之间的距离，但经过强化加固的企业浏览器会延长这个距离，使企业在未来数年保持领先于攻击者的韧性优势。

当今安全体系中的盲区

现代企业多年来已构建了分层防御体系：防火墙和安全网页网关（SWG）用于过滤网络流量，云访问安全代理（CASB）用于管理云应用使用，端点检测与响应（EDR）用于捕获恶意软件，数据防泄漏（DLP）用于防止数据泄露，以及身份控制用于验证用户权限。然而，作为这些控制措施汇聚点的浏览器本身，却在很大程度上仍是未受管辖的领域。一旦连接被允许，传统工具难以完全保护浏览器内部发生的一切。以下几个案例揭示了传统安全方法的不足：

DLP：传统的DLP解决方案通常依赖于受管设备上的代理或网络代理来扫描传输中的敏感数据。它们难以处理浏览器操作的细粒度上下文，例如用户从安全的客户关系管理（CRM）系统复制粘贴到未经授权的聊天中的文本，或通过网页表单上传的任何文件的内容。除非 DLP 智能体与浏览器紧密集成，否则它可能会错过这些“最后一公里”的数据传输。正如某位安全架构师感叹的：“我们的 DLP 可以检测到是否有人通过电子邮件发送客户名单，但却无法拦截他们将同一名单复制粘贴到像 ChatGPT 这样的网站上。”

SWG/网络过滤器：安全Web网关可以拦截已知的恶意 URL 或内容模式，往往无法识别动态加密的浏览器行为。许多攻击源于被恶意脚本入侵的合法网站，或源于新的、未知的 URL。现代网络应用大量使用 HTTPS 加密和动态内容，这极大限制了基于网络的工具的效能。结果便是：一个看似无害的网站上经过巧妙混淆的脚本，可以绕过网络防御并在用户的浏览器中执行。如果该脚本不是被杀毒软件捕获的典型恶意软件，它可能会在窃取数据时持续潜伏。

CASB和云安全：CASB 旨在监控和控制对已授权 SaaS 应用的访问，并通过分析流量来发现影子 IT 使用情况。然而，CASB 通常依赖于来自受管设备或网关的日志。在 BYOD 场景或直接连接到云的情况下，影子 SaaS 使用可能完全无法被发现。员工通过浏览器注册未经授权的在线工具或将数据上传到个人云盘，CASB 可能无法及时发现。此外，CASB 策略也可能无法拦截合法应用网页界面中发生的所有事情（例如，用户从 Salesforce 导出数据并将其上传到未经授权的服务）。

端点安全 (EDR/防病毒)：端点解决方案侧重于设备上运行的进程和已知的恶意二进制文件。但如果攻击仅限于浏览器（例如，向页面注入恶意脚本，或用户在 Web 应用中执行危险操作），则可能不会触发传统的端点警报。EDR 可能不会记录用户手动从公司应用下载敏感文件然后将其发布到公共论坛的事件，因为对于端点而言，这看起来像是正常的浏览器和用户活动。浏览器的自身进程（如渲染引擎和脚本引擎）对于 EDR 来说通常是一个黑匣子，除非恶意代码试图突破浏览器沙箱。

总而言之，现有安全解决方案在网络和端点之间留下了明显的缺口，而浏览器正处于这个缺口之中。标准浏览器（Chrome、Firefox、Edge 等）在设计时并未考虑企业安全性，这使得情况更加糟糕。它们优先考虑用户体验和兼容性，这对于提高生产力固然很好，但意味着开箱即用的浏览器缺乏保护敏感数据所需的具备企业级控制能力。这一空白已将浏览器变成了一个巨大且易受攻击的攻击面，攻击者正以惊人的频率持续利用。

演进中的风险：浏览器成为主战场

当今以浏览器为中心的安全威胁

围绕浏览器的风险格局正在迅速演变。如今，威胁不再仅仅是传统的恶意软件和网络钓鱼，随着工作重心转向网络，一系列新的挑战也随之浮出水面。以下是中大型企业目前面临的一些最紧迫的浏览器相关威胁：

1.生成式AI数据泄露：生成式AI（ChatGPT、Bard 等）的兴起带来了一个新挑战：用户为了获得帮助，自愿与外部AI平台共享敏感数据。回顾 2023 年三星备受关注的案例：工程师将专有源代码粘贴到 ChatGPT 中，后来才意识到数据已在无意中泄露到公司外部。该事件导致三星和其他公司（如华尔街的银行）暂时禁用AI聊天机器人。矛盾显而易见：这些AI工具极具价值，但如果通过浏览器不加限制地使用，它们就会成为自动化的数据泄露渠道。大多数企业都意识到这是一个问题，超过 65% 的企业承认他们目前无法控制员工复制到AI工具中的数据。这种缺乏控制的情况在金融或医疗保健等行业尤为可怕，因为将客户个人身份信息（PII）粘贴到聊天机器人中可能会违反隐私法。攻击者甚至可能不需要网络钓鱼，用户会在不知不觉中将数据拱手相让。因此，管理企业数据如何与在线AI服务共享，已成为浏览器安全的一个新维度。

2.Web/SaaS DLP：随着工作向云端迁移，敏感信息通过无数的 Web 和 SaaS 渠道流动，如 Slack、Google Drive、Dropbox、WeTransfer、LinkedIn 等，而传统的 DLP 工具难以对其进行监管。用户可能在这些平台上有意或无意地泄露数据，其往往超出了传统控制措施的范畴。与经典的基于文件的泄露（发送电子邮件附件或上传文件）不同，此类泄露多是“无文件”的，即复制和粘贴内容、在 Web 表单中输入敏感详细信息或在 SaaS 聊天中共享文本片段。这些浏览器内操作通常不会触发旧式 DLP 系统以文件为中心构建的规则。大多数传统 DLP 解决方案旨在扫描文件和电子邮件，而不是检查动态浏览器活动，正如某分析报告所言，“内联 DLP 并不是为了控制员工在 SaaS 应用中处理数据而构建的”。由此形成了一个盲区：员工可以将机密数据粘贴到聊天机器人或个人云应用中，而不会触发任何警报。现实案例突显了这一缺陷：开发人员将 API 密钥复制到 ChatGPT 中，或销售人员将客户列表导出到个人云盘中，都将无声绕过企业 DLP 警报。合规性影响尤为严重——受管制数据不受控制地移动到未经批准的应用中，可能违反 HIPAA 或 GDPR 等法律。例如，将欧盟客户列表上传到美国 SaaS平台，或将患者记录粘贴到未经批准的工具中。简而言之，浏览器已成为主要的数据泄露渠道，如果没有新的以 Web 为中心的控制措施，企业将面临敏感数据无声流失的风险。

3.影子 SaaS 和“影子 AI”应用：大型企业平均使用的 SaaS 和 Web 应用大约有 10,000 种，远远超出官方批准的应用清单。员工往往出于好意，在 IT 不知情的情况下注册新工具或试用 AI 驱动的 Web 服务。这种“影子 IT”意味着公司数据可能最终进入未经批准的应用或 AI 平台，而安全部门对此一无所知，也无法进行监督。用户通过浏览器访问的每一个新的 Web 应用或 AI 工具都可能成为敏感数据的存储库或攻击渠道。例如，一名营销员工可能会使用免费的在线图形设计工具来创建演示文稿，却在不知不觉中将机密产品路线图上传到外部服务。如果该服务遭到入侵或未强制执行严格的安全措施，数据就会面临风险。影子 AI 工具（如未经批准的生成式 AI SaaS）加剧了这一问题——用户可能会将专有数据提供给 AI 服务以获得某些结果，却未意识到该服务可能会从这些数据中学习甚至泄露这些数据。如果没有浏览器级别的监控，此类使用完全成为盲区。

4.自带设备（BYOD）和脱网访问：当用户使用个人笔记本电脑或手机工作时，IT 部门会丧失部分控制权。公司数据通过未安装EDR 或 DLP设备上的浏览器访问，导致安全策略可能被有意或无意地绕过。最新行业研究发现，98% 的企业都曾经历过员工违反 BYOD 策略的情况，这凸显了用户脱离官方渠道的普遍性。这可能很简单，例如员工为了方便通过家用电脑的浏览器下载官方报告。这台家用电脑可能未打补丁，运行旧版浏览器，甚至已经感染了恶意软件。攻击者通常会针对个人设备，因为他们知道这些设备更容易被攻破，然后将其作为跳板，通过浏览器攻击企业云应用。安全团队面临的挑战在于：如何不给防御系统造成巨大漏洞的情况下，启用 BYOD 提升生产效率。

5.未受管控的浏览器扩展：浏览器扩展和插件可以极大地提高用户生产力，从密码管理器到工作流工具，但未受管控的扩展也会带来极大的风险。扩展在浏览器环境中以广泛的权限运行，恶意或受感染的扩展可以记录击键、读取任何网站上的数据或窃取cookie。遗憾的是，大多数企业没有密切监控员工安装了哪些扩展，这导致拥有数百万用户的扩展被劫持，或被发现秘密窃取数据的事件频发。例如2024 年末，研究人员发现了 33 个恶意 Chrome 扩展，这些扩展在 18 个月内从超过 260 万用户那里收集数据。在一个案例中，一个扩展甚至窃取了 Facebook 和 ChatGPT 等服务的身份验证令牌。此类事件凸显了扩展的供应链风险——即使是从官方网上商店下载的扩展，也可能通过隐藏更新变成恶意工具。如果一个企业没有主动审查或限制扩展，可能距离一次重大泄露仅一步之遥。这种风险在受监管行业中尤为突出，在这些行业中，扩展未被检测到的数据泄露长达数月无人察觉，却已违反合规规定。

6.复杂的网络钓鱼和基于Web的恶意软件：网络钓鱼虽然不是新事物，但它仍然是最有效的攻击媒介之一，并且主要通过浏览器进行。如今的网络钓鱼网站高度复杂，通常受管在合法的云平台上或使用有效的证书，这使得它们更难以被检测到。用户可能会被诱骗在虚假的登录页面上输入凭据，或通过浏览器向恶意应用授予 OAuth 权限。同样，恶意软件的分发手段也升级了：攻击者不再仅仅依赖电子邮件附件，而是诱使用户点击链接，打开武器化的网页。这些页面可以执行“路过式下载”，或利用未修补的浏览器漏洞来安装恶意软件。现代浏览器虽会频繁更新以修补此类漏洞，但如果用户的浏览器未及时更新（在非受管设备上很常见），零日漏洞攻击只需访问一个页面即可悄无声息地入侵其系统。值得注意的是，Google Chrome 在 2023-2024 年期间多次面临零日攻击，这说明即使最新的浏览器也可能存在严重缺陷。在受监管的行业中，一次成功的浏览器钓鱼事件或恶意软件事件，都可能引发严苛的报告要求和声誉损害。浏览器实质上已成为这些社会工程学攻击与漏洞利用的前沿阵地。

浏览器已成为各类威胁的战场，从隐蔽的数据泄露到主动的漏洞利用。安全负责人必须拓宽防护视野，将这个面向用户的层面纳入防御体系。后续章节将介绍一套成熟度模型，帮助企业通过提高可见性、控制力和集成度，系统地加强其浏览器安全态势，以应对此类风险。

浏览器安全成熟度模型

为了系统地弥合浏览器安全差距，企业应分阶段解决此问题。我们提出了一个浏览器安全成熟度模型，该模型围绕三大核心支柱构建：可见性、控制与执行以及集成与可用性。每个支柱都建立在前一支柱的基础上，引导企业从基本认知到主动管控，最终实现全面集成且与用户协同的安全体系。下文将概述该模型的阶段划分，以及每个阶段定义的核心能力与预期成果。

阶段1：可见性——照亮盲区

目标：“你无法保护你看不见的东西。”阶段1侧重于了解企业范围内的浏览器使用情况和风险。这是成熟度的基础层，让安全团队能够深入了解谁在使用哪个浏览器、在哪个设备上做了什么，以及企业数据在网络生态系统中的流向。

此阶段能力：

盘点和遥测：企业盘点正在使用的浏览器（Chrome、Edge、Firefox 等）、其版本以及安装在其上的扩展，并开始采集基于浏览器活动的遥测数据。具体措施包括：在安全 Web 网关上启用详细日志记录、使用端点agent或浏览器插件捕获 Web 请求，或利用云代理日志。目标是绘制“浏览器攻击面”，例如，有多少非受管设备正在访问公司应用？员工通过浏览器使用哪些 SaaS 服务？哪些用户安装了危险扩展？
用户和会话监控：在可见性阶段，安全团队会实施监控以捕获关键事件，例如：通过网络进行的文件下载和上传、网页表单中的数据复制粘贴操作、新扩展的安装以及异常用户行为（例如在非正常时间或从新位置登录企业应用）。对于受管设备，可通过EDR遥测数据或专用浏览器安全扩展上报活动实现；对于非受管设备，即使尚未实现完全管控，基于浏览器的安全接入门户或CASB浏览器插件等解决方案也能提供部分可见性。
威胁检测（被动式）：通过基本的可见性，企业可以开始检测可疑的模式。例如，如果一个浏览器进程突然发起异常的出站连接，或者一个通常在办公室工作的员工账户在深夜通过浏览器从 SharePoint 拉取大量数据，这些都可以被标记以供调查。在阶段1，检测可能主要是被动的（分析师事后审查日志或警报），因为此时尚未完全实施强制措施。关键在于安全团队不再盲目，而是有迹可循。
阶段成果示例：处于阶段1的企业能够识别出某个未授权SaaS应用的使用趋势——例如日志显示多名员工正向该应用上传数据。即使尚未执行管控策略，他们已获得制定策略所需的洞察力。同样地，企业可能通过遥测数据发现许多BYOD苹果电脑正在使用过时浏览器版本，从而发布更新建议（或制定未来版本强制管控计划）。
成熟度特征：在可见性阶段，企业从对浏览器的风险一无所知，到拥有具体的风险数据。此阶段通常需要跨职能部门的协同，让 IT 部门协助部署日志记录或轻量级扩展，并确保隐私考量得到妥善管理（尤其是在监控个人设备上的用户活动时）。阶段1的成功衡量标准是——未知因素的减少。当安全负责人能够自信地回答“员工正在使用哪些未经批准的 Web 应用？本周发生了哪些高风险的浏览器活动？”时，标志企业已经达到了可见性里程碑。

阶段2：控制与执行——建立主动防御体系

目标：具备可见性的下一阶段，是在浏览器环境中主动执行安全策略。控制与强制执行意味着企业不再仅仅观察危险行为，还能实时拦截或遏制这些行为。浏览器也由此从被动的窗口转变为主动管理的工作空间。

此阶段能力：

基于策略的控制：企业部署工具以实施精细的浏览器策略。这可以通过企业浏览器（IT 提供的受管浏览器）或适用于标准浏览器的浏览器安全扩展来实现。关键策略包括：

恶意内容拦截：在浏览器层面拦截对已知钓鱼网站、恶意软件域或其他危险 URL 的访问（增强网络 SWG 过滤）。即使用户以某种方式绕过 VPN 或脱离网络，策略仍会随浏览器/扩展一起生效，以拦截其访问已知的恶意网站。
下载和上传控制：强制执行诸如“来自应用 X 的敏感数据不能下载到不受信任的设备”或“用户不能将文件从此安全应用上传到外部网站”等规则。例如，拦截用户将 Salesforce 中的客户数据库下载到个人笔记本电脑，或拦截通过浏览器将任何包含机密关键字的文件上传到个人 Gmail 或 Dropbox。许多 CASB 解决方案为主要应用提供基于 API 的控制；在阶段2，企业将此类管控通过浏览器安全层延伸至所有网页交互。
Web 流中的DLP：将 DLP 分类器与浏览器集成，以便拦截从某些网页复制文本或数据的行为。例如，如果员工尝试将客户社会安全号码列表粘贴到 ChatGPT 提示中，浏览器/扩展可以检测到敏感模式并拦截该操作或脱敏数据。这种细粒度的 DLP 控制历来非常难以实现，但在成熟度阶段2，企业已具备在浏览器中实时执行的能力。
扩展管理：主动控制可以安装哪些浏览器扩展。这可能意味着维护一个已批准扩展的“允许列表”并拦截所有其他扩展，或者至少标记并删除已知的风险扩展（例如那些未通过官方商店发布的扩展或那些请求过度权限的扩展）。企业浏览器产品可能内置此功能，而基于扩展的方法可以上报已安装的插件，并选择禁用或锁定某些插件。企业还可以强制规定工作时只能使用受管/提供的浏览器，以确保这些扩展策略有效。

身份和会话安全：在此阶段，企业可以在浏览器中强制执行以身份为中心的策略。例如，拦截用户使用个人账户登录公司应用，反之亦然（以避免个人和工作会话的交叉污染）。浏览器可以强制规定只有公司 SSO 才能用于访问某些服务，从而消除员工可能在单点登录之外创建账户的“影子身份”。此外，如果会话变为高风险状态，例如用户尝试从异常位置访问 HR 系统或尝试下载异常大量的数据，浏览器可以要求进行升级认证（MFA）。通过与企业的身份平台集成，浏览器安全工具可确保会话完整性并持续验证信任。
安全加固和漏洞防护：在企业控制的浏览器环境中，可以采取额外的加固措施。这包括强制使用最新版本的浏览器（杜绝危险的过时插件）、在隔离模式下运行可疑站点（某些企业浏览器可以自动隔离或将不受信任的站点渲染为只读），以及拦截漏洞利用。虽然没有解决方案能保证拦截全新的浏览器漏洞，但拥有企业浏览器或扩展意味着如果检测到已知的恶意脚本或漏洞利用工具包，可以立即终止其运行。此外，通过减少攻击面（例如，禁用Flash等易受攻击的遗留功能，或禁止扩展静默安装），可以降低漏洞利用的成功率。
用户警示和教育：阶段2不仅仅是彻底拦截，还包括在发现风险时提醒用户。例如，如果员工即将把包含敏感数据的文件上传到未经批准的应用，浏览器可能会提示：“此操作违反公司政策。是否继续？”，从而让用户有机会重新考虑（或通过例外流程证明业务需求）。这些实时告警既能教育用户，同时能减少意外泄露，而无需总是采取硬性阻断。
阶段成果示例：此阶段的具体案例：假设一名员工在其个人电子邮件中收到一个网络钓鱼链接，并在工作浏览器上点击了该链接。浏览器内置的保护功能无需员工察觉到诈骗，即可立即识别出虚假登录页面并将其拦截，同时显示告警横幅。另一种场景：一名员工试图从机密报告中复制数据并将其粘贴到 ChatGPT 会话中，安全扩展检测到了敏感内容并拦截粘贴，同时向 IT 部门记录事件。该尝试行为被即时拦截，从而避免了潜在的数据泄露。而仅凭阶段1的可视性只能在事后发现，企业现在可以在事前主动拦截危险行为。
成熟度特征：达到阶段2意味着企业已从观察转向行动。无论设备或网络环境如何，策略都得到统一执行，这对于弥补 BYOD 和远程工作的安全缺口至关重要。此时，安全负责人可展示可量化的风险降低成果，例如，“上一季度浏览器控制拦截了 200 起数据暴露事件”，或者“所有未经批准的高风险扩展都已从员工浏览器中移除”。随着员工不断看到安全提示提醒他们安全操作，用户信任度和意识也同步提高。然而，实施控制必须谨慎——若过于严厉，用户就会寻求变通方法（这就是为什么阶段3侧重于平衡安全性与可用性）。阶段2的关键标志是企业能够实时缓解基于浏览器的威胁，从而显著降低浏览器引发泄露的可能性。

阶段3：集成与可用性——将安全性融入生态体系

目标：在最终成熟阶段，浏览器安全完全集成到企业的安全生态体系中，并实现最小摩擦优化。此阶段旨在巩固阶段1和阶段2的成果，确保它们与其他工具协调工作，并且用户接受而非抵制安全浏览器环境。集成与可用性侧重于将浏览器安全嵌入到工作流和基础设施中，使其成为业务的推动者，且几乎没有负面影响。

此阶段能力：

生态系统集成：所有来自浏览器的数据和控制都与更广泛的安全运营体系集成。来自浏览器/扩展的日志和警报会馈送到安全信息和事件管理（SIEM）系统，与其他警报（如 CASB 或网络事件）关联分析，以提供统一视图。例如，如果用户在浏览器中触发了 DLP 警报，并且不久之后其设备上触发了 EDR 警报，SOC 可以在一个地方看到这种关联。集成还意味着将浏览器安全与身份和访问管理（IAM）和零信任网络访问（ZTNA）策略相结合。如果用户在身份提供商中的风险级别（例如通过用户行为风险评分）升高，可触发企业浏览器调整策略（例如要求所有操作都进行 MFA）。反之，如果浏览器检测到异常行为，它可以通知身份平台加强身份验证甚至暂停会话。与 CASB/SSE 的集成也至关重要，浏览器安全应打破孤岛，与云安全网关共享上下文（例如，CASB 检测到的云 DLP 事件可以触发企业浏览器实时锁定该用户的下载权限）。到阶段3，浏览器安全解决方案不再是孤岛，它是安全架构中完全联动的组成部分。
可用性和用户体验：成熟度的标志是在不牺牲用户生产力的情况下实现安全性。在阶段3，企业会微调策略，以消除不必要的拦截或警报。他们利用上下文感知规则，以便仅在真正需要时才对用户进行验证或拦截（例如，在办公室使用受管设备的用户可能比在陌生网络上使用未经识别的设备的用户拥有更宽松的权限）。性能优化也得到了解决，安全浏览器或扩展必须高效运行。企业可能会与供应商合作，以确保安全开销（如内容扫描）不会拖慢关键 Web 应用的速度。许多安全的企业浏览器都基于 Chromium 构建，这意味着保留了用户熟悉的界面和与 Web 应用的兼容性，从而降低部署阻力。在此阶段，企业还会实施清晰的沟通和培训：让用户理解安全浏览器是为了保护他们，而不是监视他们。例如，如果企业浏览器有“工作模式”和“个人模式”（某些解决方案提供隔离配置文件以分离公司和个人浏览），则会教育员工如何使用这些模式，以便在保护工作活动的同时尊重个人隐私。
广泛部署和平台覆盖：在阶段3，安全浏览器解决方案（或安全扩展）将在整个企业范围内进行部署，包括在适当时部署给合同员工和第三方人员。它支持所有主流操作系统和移动浏览器，提供一致的安全保障。这种规模的部署需要自动化并与设备管理解决方案（MDM/EMM）集成，以推送浏览器或扩展并确保其始终运行。“快速流水线化部署”是关键；成熟项目已掌握如何向数千终端推送更新和新策略，同时将业务中断降至最低。
持续改进与量化指标：最终，一个集成且成熟的程序会使用量化指标和反馈循环。安全团队会跟踪用户摩擦（如误报触发频率）、策略例外事件和事故率等指标，并基于威胁情报和用户反馈，定期审查和更新浏览器策略。与威胁情报集成可自动更新黑名单或扩展风险评级。该程序还会关注合规性要求；到阶段3，许多企业可以自信地回答审计员提出的“如何控制网络对敏感数据的访问？”等问题，因为他们拥有一个有文档记录的、活跃的浏览器安全程序。此阶段的成熟度意味着浏览器安全不是一次性项目，而是安全企业治理中的一项持续实践。
阶段成果示例：在阶段3场景中，假设 Chrome 浏览器出现了一个新的零日漏洞，一个成熟的企业已部署多层防御：浏览器管理平台会立即推送配置以临时禁用易受攻击的功能；安全运营中心（SOC）通过 SIEM 获取情报源，监控浏览器日志中的攻击尝试；用户通过安全浏览器接收紧急更新通知和操作说明。同时，由于企业浏览器在加固模式运行，即使有人在打补丁前遇到漏洞攻击，额外的沙箱机制也能将损害控制在一定范围内。在可用性方面，员工已经习惯了企业的安全浏览器，例如，使用个人 MacBook 的顾问在访问客户数据时只需启动公司的安全浏览器，而其他操作则在其常规浏览器中进行。他们赞赏安全浏览器让他们可以随时随地工作，而无需笨重的 VPN 或 VDI，同时公司也确信该会话的所有必要控制（禁止下载、复制/粘贴限制等）都已生效。安全已成为透明的促进者，而非障碍。
成熟度特征：在集成与可用性阶段，浏览器安全已实现“深度内嵌”。安全事件显著减少，即使发生事件，响应速度也更快，因为浏览器遥测数据已与事件响应工具集成。从入门级员工到高级管理人员，用户普遍接受安全浏览器控制作为工作流程的正常组成部分（就像他们接受刷卡进入建筑物或多因素登录一样，这被视为一种标准安全实践）。首席信息安全官可以向董事会汇报，公司拥有一个强大的程序来保护“最后一公里”，并提供指标来证明其有效性（例如，数据泄露事件的减少、合规审计通过率、检测/响应浏览器威胁的平均时间缩短）。本质上，企业已将浏览器从负债转变为资产；一个增强安全性的受控网关。

实施路线图：从快速见效到全面的浏览器安全

采用企业浏览器安全计划是一个循序渐进的过程。以下是一个分步路线图和清单，旨在帮助安全负责人以结构化的方式逐步提升成熟度。本路线图注重实用性和模块化——企业可以从基础开始，逐步增加更多功能。

1.评估当前状态和风险——首先坦诚评估企业面临的浏览器风险。清点目前通过浏览器访问公司数据的方式：使用了哪些设备（受管/非受管）？涉及哪些关键 SaaS 应用？目前如何监控（如果监控的话）浏览器活动？识别近期涉及浏览器使用的事件或险情（例如，网络钓鱼点击、未经授权的应用使用、数据泄露）。这项评估应揭示最紧迫的差距，例如，您可能会发现 30% 的员工使用个人笔记本电脑工作，但未采取任何浏览器保护措施，或者员工安装了数十个未知扩展，利用这些发现来建立紧迫感并获得高管支持。可通过模拟远程员工的一天，观察他们可以通过网络浏览器能绕过多少安全策略——这些发现通常能为采取行动提供依据。

2.可见性快速见效措施——从最容易实现的目标入手可立即获得可见性。例如，在现有基础设施上启用日志记录，确保 SWG 或防火墙记录所有带有用户 ID 的Web 请求。如果您有用于公司设备的 MDM，用它来收集已安装的浏览器扩展列表，或强制浏览器报告基本遥测数据。部署轻量级 CASB 发现工具甚至分析代理日志，以查找正在使用的主要未经授权的应用。如果可能，以审计模式向试点组部署浏览器安全扩展，开始获取用户行为数据（暂不实施拦截）。快速见效措施还包括更新策略，例如强制所有员工在浏览器中使用 SSO 访问企业应用（以实现身份集中化跟踪），并要求任何 BYOD 设备在访问关键应用之前向身份提供商或网关注册（这样您至少知道正在访问的设备/浏览器）。这些步骤能以最小业务中断开始照亮盲区。

3.建立跨职能工作组——同时组建一个由安全架构师、IT 终端管理人员、身份管理专家以及合规和技术支持代表组成的小型团队或工作组。浏览器安全涉及多个领域（终端、网络、云、用户体验），因此需要跨部门协同。该团队将评估解决方案（企业浏览器VS扩展，或两者兼有）、设计策略并协调部署。尽早听取 IT 支持团队的意见至关重要，他们将处理用户问题，并确保新工具不与现有设备配置冲突。此外，还可邀请一些技术娴熟的最终用户或来自不同部门的倡导者进行试点并提供反馈。

4.试点阶段（从可见性到控制）——选择企业中的一部分人员来试点新的浏览器安全方法，可以是一个部门，或者是处理敏感数据的团队（如财务或研发团队）的核心用户。在试点期间，将所选解决方案（例如，推行企业安全浏览器或安全扩展）部署到他们的设备上。短时间内以仅监控模式启动，收集他们浏览器使用模式的可见性，并确认解决方案在他们的环境中稳定。然后逐步为该试点小组启用一些核心控制策略，好的起始策略是那些具有明确益处且争议较小的策略，例如：拦截已知恶意网站，强制通过 SSO 登录公司应用，以及可能拦截少数明显危险的扩展。为试点用户提供培训，告知他们预期会发生什么（例如，“如果您访问恶意网站，可能会看到一个拦截页面，以下是如何报告误报”）。密切监控试点，收集反馈，并根据需要进行调整。试点成功将为后续全面推广铺平道路——通过量化指标（如"首月拦截X次威胁并检测Y次不安全行为"）助力方案论证。

5.分阶段推行全面控制——基于试点经验，开始在企业范围内广泛部署。分阶段推行可以降低风险，如首先为某个区域或业务部门的所有用户启用安全浏览器/扩展，然后再推广到其他用户。或者先推行一部分策略（例如，从所有可见性+拦截最严重的威胁开始），然后开启更严格的数据保护规则。向用户清晰地传达正在发生的变化以及原因，强调安全浏览环境对他们个人和企业的保护作用，并提供已拦截事件的示例（避免指责性描述）。确保用户可以轻松地请求帮助或策略例外申请通道——如果关键内容被拦截，用户可快速反馈，这将维持信任度。在推行期间避免重大业务中断，跟踪 IT 支持工单的增长情况，如果某个特定策略产生过多的误报，应暂缓实施并优化，而不是任其侵蚀整个计划的公信力。

6.与现有系统集成——随着浏览器安全解决方案在企业全面推广，重点关注转向系统集成。将浏览器日志和警报接入 SIEM 或 XDR 平台，以便分析师可以通过单一界面进行查看；与事件响应预案集成（例如通过浏览器检测到严重的恶意软件威胁，则自动执行隔离该端点或使该用户的所有活动会话过期等操作）。与身份团队合作，将浏览器风险信号（例如通过浏览器进行的异常登录）输入用户风险评分。将浏览器控制与 DLP 分类对齐，如果您有标记为“机密”的数据，确保浏览器策略知道如何区别对待该数据（某些企业浏览器可以读取文件分类标签或水印）。目标是新控件不是孤立运行，而是增强现有体系。例如，若使用 Microsoft 365 DLP，请确保浏览器不会以冲突的方式拦截相同的内容，相反，浏览器可以在非受管设备上强制执行 M365 DLP 策略。集成还将涉及与合规团队合作，以映射浏览器控制如何助力满足法规要求（记录这些映射以供审计）。

7.强调可用性和持续培训——初始推广完成后，重点应转移到用户体验上。对安全浏览器进行用户调查或收集反馈：是否有网站崩溃或速度变慢？安全提示是否易于理解？根据反馈进行精细化调整。比如某个特定的开发者工具网站被错误地标记了，可以将其列入白名单；若员工在个人和工作环境之间切换时可能会感到困惑，需提供更清晰的指导甚至技术分离（某些解决方案允许“双重浏览”模式）。继续开展网络钓鱼演练或数据处理培训，并将浏览器安全使用纳入其中（例如，教用户如何识别拦截页面以及应对流程）。让安全成为公司文化中积极的一部分：通报成果，如“本季度，我们的安全浏览保护我们免受了 50 次网络钓鱼攻击，感谢大家保持警惕并及时上报问题！”当用户看到价值并有参与感的时候，他们更倾向配合而不是规避。

8.持续扩展和演进——最后，将浏览器安全项目视为一个不断演进的项目。随着新的基于网络的技术（例如，新的 AI 协作工具）的出现，将其纳入安全审查。持续更新批准的扩展和网络应用列表。评估增强方案，例如为高风险点击集成远程浏览器隔离（一些企业选择通过隔离服务路由未知 URL，同时将企业浏览器用于正常工作）。及时了解威胁态势：例如，如果通过浏览器进行的令牌窃取的恶意软件激增，考虑添加额外的凭据保护措施（许多企业浏览器可以保护存储的密码或检测令牌窃取尝试）。此外持续关注指标：如果某个类别事件发生率趋近于零，可以考虑加强其他领域。随着成熟度的提高，可考虑分享洞察成果（例如向行业信息共享组织贡献有关新兴浏览器威胁的匿名数据），这不仅有助于行业生态，也能增强内部利益相关者对项目的信心。

遵循此路线图，企业能将浏览器从不可控的风险转化为可自信管理的安全集成组件。每个步骤都应根据企业的具体情况进行调整，监管严格的银行可能会更快地强制执行严格的控制，而科技公司可能会强调用户体验并逐步改进。关键在于保持前进的势头——浏览器可见性或控制的每一次改进，都直接降低了在“最后一公里”发生代价高昂的泄露或合规性失败的可能性。

浏览器安全方案对比：远程浏览器隔离、企业浏览器与扩展

企业在评估如何最好地保护浏览器活动时，主要存在三种架构模型：远程浏览器隔离（RBI）、企业浏览器和企业浏览器扩展。每种模型都在安全控制和可用性之间提供了不同的平衡点。本节将根据本指南中涵盖的三大维度——可见性、控制与执行以及集成与可用性——对它们进行比较，同时说明各方案的核心优势和权衡取舍。

远程浏览器隔离（RBI）

RBI 解决方案通过向用户流式传输远程沙盒浏览器会话来工作，从而有效地将所有 Web 内容与端点隔离。虽然这种模型提供了强大的隔离能力——特别是对于未知或高风险网站——但它也存在显著的缺点：

用户体验和延迟：由于所有浏览都在远程服务器中渲染并作为视觉流传输，RBI 通常会导致延迟增加、响应能力下降和画面失真。富媒体 Web 应用、视频会议工具和动态的 JavaScript 密集型网站往往会崩溃或行为异常。
站点兼容性：现代 SaaS 工具（例如 Google Workspace、Figma、Salesforce）在通过 RBI 路由时可能无法正常运行，尤其是在需要实时协作或第三方插件时。
用户抵触情绪：RBI 用降级的替代方案取代了原生浏览体验。用户在有选择余地时往往选择绕过 RBI，导致其效果大打折扣。
技术淘汰趋势：由于这些可用性问题，大多数企业正在逐步淘汰 RBI 方案。它越来越被视为一种过时的控制措施，仅在罕见的高风险场景中（例如打开未分类链接或隔离未知下载）有用。

企业浏览器（例如 Island）

企业浏览器是基于 Chromium 内核的专用浏览器，可在独立环境中提供强大且策略强制的安全保障。虽然它们提供了强大的控制功能，但也会带来一些不便：

安全能力：这些解决方案可提供对浏览器活动的深度可见性、精细化策略执行以及与企业系统（IDP、CASB、MDM、SIEM）的集成，支持对下载、复制/粘贴、SaaS 访问和扩展使用进行细粒度管控。
用户中断：企业浏览器要求员工弃用现有的浏览器（例如 Chrome、Edge、Safari），这会中断既定的工作流程、浏览器配置文件、书签和插件，推广往往由于用户抵触导致难以推进。
覆盖范围有限：虽然它们能保护企业浏览器内的活动，但该浏览器之外的任何用户活动（包括在个人或非受管浏览器上的活动）对系统来说都是不可见的。例如，如果用户没有使用企业浏览器，那么他们将敏感数据复制到 Chrome 中的 ChatGPT 的行为将不受监控。
最佳适用场景：企业浏览器通常最适合用于保护第三方承包商、非受管端点或需要控制浏览器环境且用户体验不那么重要的特定 BYOD 场景。

企业浏览器扩展（例如 LayerX）

浏览器安全扩展提供了一种轻量级、用户无感知的安全增强方案，将安全层直接嵌入到现有浏览器中。

用户体验与采用：扩展无需用户更改其首选浏览器。用户可以保留其书签、历史记录、设置和浏览器熟悉度——从而消除摩擦，这极大地提高了采用率和合规性。
可见性与控制：现代浏览器扩展可以提供丰富的用户活动遥测数据（例如复制/粘贴、上传、登录），强制执行实时 DLP 策略，检测影子 SaaS 使用情况，并管理有风险的浏览器扩展——所有这些都无需替换浏览器。
部署灵活性：企业级扩展可以部署并强制应用于所有主流浏览器（Chrome、Edge、Firefox），包括隐私/无痕模式。它们还可以与企业系统集成，例如 IDP、MDM、CASB 和 SIEM。
无妥协的安全防护：扩展在可见性、控制和可用性之间提供了最佳平衡——尤其是在安全团队需要在受管和非受管设备上操作，同时不影响用户体验的环境中。

总结

随着企业寻求规模化保护其浏览器活动安全时，他们正在重新审视浏览器的战略定位。远程浏览器隔离（RBI）证明了隔离技术可以保护用户，但会牺牲可用性。未来属于企业浏览器和浏览器扩展，它们更贴合实际的工作场景。在我们看来，这些方案应逐步覆盖智能体浏览器解决方案。

企业浏览器提供强大的、策略驱动的控制，最适合承包商、BYOD 和非受管端点这些安全边界至关重要的场景。浏览器扩展在员工现有的浏览器内部提供保护，在保持可用性的同时，为安全团队提供可见性和控制。这种平衡使其成为受管设备上知识工作者的理想选择。

浏览器不再仅仅是通向网络的窗口，它正在成为AI经济的操作系统层，安全也必须随之发展。下一代企业浏览器和扩展将充当智能体安全控制：验证意图、隔离内存，并将零信任原则应用于人员以外的AI智能体。拥抱这一转变的企业将把浏览器从最薄弱的环节转变为智能体时代可信赖的基石。

原文链接：

https://softwareanalyst.substack.com/p/agentic-browsers-and-the-new-last

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。