Agent Browser Shield:当 AI 编码 Agent 需要安全浏览网页
Claude Code、Codex、OpenCode 等 AI 编码 Agent 越来越频繁地需要访问网页——查文档、读 GitHub Issue、抓 API 响应、爬取竞品信息。但网站是为人类视觉浏览设计的,而不是为 LLM 的 Token 预算和安全边界设计的。
一个普通的技术文章页面可能包含:3 个 Cookie 横幅、2 个聊天插件、4 个广告位、5 个分享按钮、底部 Footer 导航、以及隐藏在 HTML 注释中的用户行为追踪代码。这些内容不仅浪费 Token,更可能引入 prompt injection 攻击或意外泄露 PII。
Agent Browser Shield 是 PixieBrix 团队开源的 Chromium 浏览器扩展,用 35+ 条规则为 AI Agent 提供安全的网页浏览环境。
问题对比:有 Shield 和没有 Shield 的巨大差异
| 对比维度 | 无保护 | 有 Agent Browser Shield |
|---|---|---|
| Token 浪费 | 页面 40-60% 内容是无用 chrome(页脚、横幅、广告) | 自动剥离,只留核心正文 |
| Prompt Injection 风险 | 用户评论、隐藏文本、HTML 注释中可能藏注入载荷 | 静默抑制所有 UGC 和隐藏内容 |
| 敏感信息泄露 | PII 和 API 密钥可能随页面内容进入 LLM 上下文 | 自动掩码身份证号、密钥等敏感数据 |
| 黑暗模式干扰 | 虚假倒计时、紧迫性弹窗误导 Agent 行为 | 屏蔽所有 manipulative 模式 |
| 安装成本 | — | Chrome Web Store 一键安装 |
快速上手:30 秒安装
Agent Browser Shield 是一个标准的 Chromium 扩展,支持所有基于 Chromium 的浏览器:
- 打开 Chrome Web Store 页面
- 点击「添加到 Chrome」
- 无需任何配置——默认规则集自动启用
安装后打开 RiverMart 在线演示 即可看到前后对比:相同的页面,开启扩展后广告、弹窗、跟踪代码被全部清理。
对于需要通过 Browserbase 等云端浏览器运行 Agent 的场景,项目提供了打包命令将扩展打包为 ZIP 上传:
cd extension bun install && bun run build bun run package # 输出: output/agent-browser-shield-extension.zip
三大规则体系
Agent Browser Shield 的 35+ 条规则分为三大类别。
1. Token 效率规则(默认开启)
让 Agent 的 Token 预算花在刀刃上。这类规则自动移除页面中与用户任务无关的「页面 chrome」:
- Cookie 横幅移除:清除 GDPR/CCPA Cookie 同意弹窗
- 聊天插件隐藏:Intercom、Drift、Zendesk 等客服聊天 Widget
- 广告位剥离:集成 EasyList 快照(~13,000 条广告选择器),覆盖主流广告网络
- 赞助内容移除:伪装成本文推荐的推广链接
- 页脚导航清理:大部分网站 Footer 区域不包含任务相关内容
以 RiverMart 演示站为例:关闭 Shield 时页面包含 4 个弹窗、2 个聊天插件、3 个广告板块,开启后只剩下干净的搜索结果。
2. 安全与合规规则(核心价值)
这是 Agent Browser Shield 最独特的能力——保护敏感信息不被 LLM 不必要地消费:
- PII 掩码:自动检测并掩码身份证号、信用卡号、电话号码、邮箱地址等敏感信息
- 密钥注入防护:检测并移除页面中可能泄露的 API 密钥、Token、密码
- 隐藏文本抑制:SEO 作弊用的
display: none文本、白色文字等——这些常被用于 prompt injection - HTML 注释移除:
中的开发注释经常包含敏感路径、临时凭证 - 用户生成内容过滤:评论区、论坛帖子中的内容可能包含恶意提示
这类规则对 AI Agent 的安全至关重要——如果不加过滤,Agent 在处理一个含有 的页面时,密钥就会进入 LLM 上下文。
3. 准确性规则(防止被误导)
网站经常使用心理操纵技巧(黑暗模式)影响用户决策,这些技巧对 AI Agent 同样有效:
- 虚假倒计时:
"仅剩 2 小时!"——实际上每次都重置的紧迫性弹窗 - 确认羞耻(Confirmshaming):
"不,我讨厌省钱"这类绑架式按钮文案 - 伪装关闭按钮:关闭按钮实际上打开广告页面的欺诈行为
- Engagement Rails 隐藏:无限滚动推荐、自动播放视频等分散注意力的内容
Agent 不像人类能直觉地识别「这个关闭按钮是假的」,因此这类规则是必要的防御层。
横向对比:Agent Browser Shield vs 其他方案
| 特性 | Agent Browser Shield | Browser Use 安全配置 | 手动 Prompt 工程 |
|---|---|---|---|
| 规则数量 | 35+(持续扩充) | 无内置规则 | 依赖开发者经验 |
| PII 掩码 | 自动检测 | 需手动实现 | 无 |
| Prompt Injection 防护 | 内置(UGC 过滤 + 隐藏文本抑制) | 无 | 可有条件提示 |
| Token 节省 | 实测 40-60% | 无法量化 | 无 |
| 安装复杂度 | Chrome Web Store 一键安装 | 需 Python SDK 配置 | 无 |
| 云端 Agent 支持 | 支持(Browserbase ZIP 打包) | 原生 | 需协商 |
| 开源许可 | PolyForm Shield(源码可用,商业使用免费) | MIT | N/A |
注意事项
- Alpha 版本:项目标注为 Alpha 原型,规则集可能在没有通知的情况下变更
- 许可协议:PolyForm Shield 1.0.0 是源码可用许可——你可以免费商用、内部使用或研究使用,但不能用其构建竞争产品
- 隐私保护:扩展本身不收集任何遥测或使用数据。唯一可选的外网调用是
irrelevant-sections-redact规则(默认关闭),它会将压缩后的页面结构发送到 OpenAI API 进行分类——仅在你手动开启并配置 API Key 时生效 - 并非银弹:扩展可以减少但无法完全消除浏览器 Agent 面临的所有风险。网站攻击面仍然存在
实际应用场景
Agent Browser Shield 特别适合以下场景:
- Claude Code / Codex 浏览器集成:当 Agent 需要读取网页内容时,Shield 自动过滤噪音
- 自动化测试中的网页 Agent:爬取商业站点时避免被黑暗模式干扰
- MCP 浏览器工具:与 MCP 协议配合,为工具调用提供安全上下文
- 多 Agent 并行处理大量网页:显著降低 Token 消耗,节省 API 成本
PixieBrix 还在 scripts/ 目录下提供了完整的基准测试框架,可以用 benchmark_run.py + benchmark_report.py 量化测试 Shield 对你的 Agent 工作流的具体影响。
总结
Agent Browser Shield 解决的是一个真实且被普遍忽视的问题:AI 编码 Agent 在浏览网页时面临的多重风险——Token 浪费、Prompt Injection、PII 泄露、黑暗模式干扰。这不是一个「让 Agent 更强大」的工具,而是一个「让 Agent 更安全和高效」的基础设施。
对于每天使用 AI Agent 进行浏览器自动化的开发者来说,安装这个扩展 + 了解其规则体系的运作方式,是一个低投入高回报的安全投资。
- GitHub: github.com/pixiebrix/agent-browser-shield
- Chrome Web Store: chromewebstore.google.com/…
- 演示站点: shield-dark-pattern-demo.vercel.app