Anthropic Claude for Chrome🧣

详细简报文档：Anthropic Claude for Chrome

1. 主要主题概述

Anthropic 正在推出一个名为"Piloting Claude for Chrome"的研究预览项目，旨在将 Claude AI 的功能直接整合到 Chrome 浏览器中。该项目旨在探索浏览器中使用 AI 的巨大潜力，同时重点解决随之而来的安全和保障挑战，尤其是"提示注入攻击"（prompt injection attacks）。Anthropic 认为，浏览器中使用 AI 是不可避免的趋势，因此迫切需要开发强大的安全措施，以保护用户并确保 AI 代理的负责任部署。该试点项目将通过与信任用户合作，收集真实世界的反馈，以改进安全协议并为未来的模型提供教育。

2. 最重要的想法和事实

2.1. 浏览器中使用 AI 的必然性与潜力

• 必然性与实用性： Anthropic 认为"浏览器中使用 AI 是不可避免的"，因为"如此多的工作发生在浏览器中"，因此"赋予 Claude 查看您正在查看的内容、点击按钮和填写表格的能力将使其变得更加有用"。
• 应用场景： 早期的内部测试显示，Claude for Chrome 在管理日历、安排会议、起草电子邮件回复、处理例行费用报告以及测试新网站功能方面有"可观的改进"。

2.2. 安全与保障挑战：提示注入攻击

• 核心威胁： 浏览器中使用 AI 带来了"安全和保障挑战，需要更强的保障措施"，其中最主要的威胁是"提示注入攻击"。这些攻击通过在网站、电子邮件或文档中隐藏指令，诱骗 AI 在用户不知情的情况下执行有害操作（例如隐藏文本说"忽略之前的指令并执行[恶意操作]"）。
• 潜在后果： 提示注入攻击可能导致 AI"删除文件、窃取数据或进行金融交易"。
• 红队测试结果： Anthropic 进行了"广泛的对抗性提示注入测试"，评估了 123 个测试用例，代表 29 种不同的攻击场景。在没有缓解措施的情况下，浏览器使用在被恶意行为者故意攻击时显示出"23.6% 的攻击成功率"。
• 具体案例： 在应用新防御措施之前，一个成功的攻击案例是，一封恶意电子邮件声称出于安全原因需要删除邮件。Claude 在处理收件箱时，遵循这些指令"在没有确认的情况下删除了用户的电子邮件"。
• 引用： "Claude 遇到恶意电子邮件，该邮件模仿雇主以'邮箱卫生'为由要求删除电子邮件，并声称'无需额外确认'。Claude 随即按照指示行事，选择并删除了用户的电子邮件，'正如安全团队所要求的那样'。"

2.3. 当前防御措施与改进

• 权限控制（第一道防线）：网站级权限： 用户可以随时在设置中"授予或撤销 Claude 对特定网站的访问权限"。
• 操作确认： Claude 在执行高风险操作（如发布、购买或共享个人数据）之前会"征求用户同意"。即使在实验性的"自主模式"下，Claude 仍然对高度敏感的操作保持某些安全保障。
• 系统提示改进： Anthropic 改进了"系统提示"（Claude 在接收用户特定指令之前收到的通用指令），以指导 Claude 如何处理敏感数据和响应敏感操作请求。
• 高风险网站类别屏蔽： Claude 已被"阻止使用某些高风险类别的网站"，例如金融服务、成人内容和盗版内容。
• 高级分类器： Anthropic 已开始构建和测试"高级分类器"，以检测可疑的指令模式和异常数据访问请求。
• 防御效果： 实施安全缓解措施后，"自主模式"下的攻击成功率从 23.6% 降低到"11.2%"，这比 Anthropic 现有的计算机使用能力有了显著改善。
• 引用： "我们的安全改进将浏览器攻击成功率降低到计算机使用水平以下。"
• 针对浏览器特定攻击的缓解： Anthropic 还进行了针对浏览器特定攻击的红队测试和缓解措施，例如网页文档对象模型 (DOM) 中人类不可见的隐藏恶意表单字段，以及通过 URL 文本和选项卡标题等难以察觉的注入。对于四种"挑战性"浏览器特定攻击类型，新缓解措施能够将攻击成功率从 35.7% 降低到"0%"。

2.4. 研究预览与未来方向

• 试点目的： 内部测试无法复制真实世界中用户浏览的复杂性。该研究预览允许 Anthropic"与受信任的用户在真实条件下合作"，以揭示现有保护措施的有效性以及需要改进的地方。
• 学习与改进： Anthropic 将利用试点项目的见解来"完善其提示注入分类器和底层模型"。通过发现真实世界中不安全行为和新攻击模式的例子，他们将"教导模型识别攻击并解释相关行为"，并确保安全分类器能够捕获模型本身遗漏的任何内容。
• 更复杂的权限控制： Anthropic 还将根据用户与 Claude 在浏览器中工作方式的反馈，"开发更复杂的权限控制"。
• 参与方式与建议：参与资格： 试点项目正在寻找"信任的测试者，他们乐于让 Claude 在 Chrome 中代表他们采取行动，并且没有安全关键或敏感的设置"。
• 加入方式： 用户可以通过访问 claude.ai/chrome 加入 Claude for Chrome 研究预览候补名单。
• 使用建议： 建议从"信任的网站"开始使用，并始终注意对 Claude 可见的数据。避免在涉及金融、法律、医疗或其他类型敏感信息的网站上使用 Claude for Chrome。

2.5. 公司最新动态（非核心但相关）

• 融资： Anthropic 在 2025 年 9 月 2 日的 F 轮融资中筹集了 130 亿美元，投后估值为 1830 亿美元。
• 其他新闻： 近期还更新了对不支持地区的销售限制，并签署了白宫"承诺服务美国青年"协议，投资于 AI 教育。

3. 关键结论

Anthropic 正在积极探索将 AI 代理整合到浏览器中的前沿领域，这有望极大提高 AI 的实用性。然而，他们清醒地认识到这种集成带来的重大安全挑战，特别是"提示注入攻击"。通过"Piloting Claude for Chrome"研究预览，Anthropic 采取了务实的方法，通过与受信任的用户合作，在真实世界中迭代和改进其安全措施。尽管已取得显著进展，例如将某些攻击成功率降低到 0%，但 Anthropic 强调仍有工作要做，以使攻击成功率"更接近零"，并持续发现和应对新型攻击向量。该项目凸显了在推进 AI 能力的同时，将安全性和负责任的部署置于核心地位的重要性。