终极指南：AI 浏览器

新工具，熟悉的挑战

在过去的一年里，一波专门构建的 AI 浏览器已从演示视频走进了人们的日常工作流，承诺将搜索、标签页和表单填写转变为更接近单一对话助手的东西。这篇《浏览器终极指南：万物篇》解释了 AI 浏览器能做什么，为什么 OpenAI 和 Perplexity 等公司构建了 Atlas 和 Comet，以及当用户将一部分浏览信任移交给模型时必须权衡什么。Atlas 和 Comet 都旨在融入你的常规网络流程中——总结页面、追踪链接，在智能体（agent）模式下甚至能完成多步骤任务——但它们采取了截然不同的技术和产品方案，这影响了速度、隐私和安全性。

AI 浏览器：工作原理

从高层级来看，AI 浏览器是一个包裹在 AI 助手中的普通网页浏览器，该助手能够理解你打开的页面，保持跨标签页的上下文记忆，并能回答有关内容的问题，或作为智能体代表你执行任务。在底层，有三个反复出现的设计元素：页面感知助手（通常是侧边栏或“sidecar”）、跟踪打开的标签页和最近操作的上下文层，以及一个混合了用于低延迟需求的本地 token 和用于更深层推理的云端托管模型的模型栈。这些组件实现了诸如一键总结、跨标签页综合和自动表单填写等功能。

不同的供应商决定了信任边界的放置位置。一些供应商在本地执行大部分逻辑，以减少遥测数据和延迟；另一些则将查询路由到远程模型，以获取最新的知识和规划。这些浏览器在允许助手具备多少“智能体属性”方面也各不相同：一个仅总结页面的只读助手与一个可以点击链接、填充保存的凭据并触发购买的智能体，在安全影响上有着天壤之别。这些权衡以实质上不同的方式塑造了用户体验和攻击面。

Atlas 和 Comet —— 产品差异（浏览器终极指南：万物篇）

OpenAI 的 ChatGPT Atlas 将 ChatGPT 直接集成到桌面浏览器外壳中，并强调与 ChatGPT 功能的深度融合：内联辅助、用于页面感知操作的光标工具，以及在获得许可后可以进行研究、规划并尝试任务自动化的智能体模式。Atlas 首先针对 macOS 发布，并正在向付费层级和企业客户推广智能体能力，承诺稍后将提供更广泛的平台可用性。OpenAI 将 Atlas 定位为一种在你浏览的任何地方携带 ChatGPT 上下文和工具的方式，同时提供用户对助手可访问内容的控制权。

Perplexity 的 Comet 是一款围绕 Perplexity 助手构建的以 AI 为中心的浏览器。Comet 从一开始就强调以研究为中心的功能——持久的侧边助手、强大的页面总结以及跨站点汇总证据的多标签研究模式——随后扩展到了移动平台。Comet 的营销和早期文档强调了生产力（研究、购物自动化、邮件总结）和隐私优先选项（如本地记忆模式和内置广告及追踪器拦截）。但 Comet 的智能体功能和深度跨标签页访问也使其成为了密集安全审查的焦点。

研究与生产力功能

对于主要目标是收集证据和总结的用户来说，这两种领先体验的细微差别多于意图差异。Comet 的研究模式（Research Mode）和 sidecar 专门针对挖掘多个页面、提取引用以及将长篇文章浓缩为易于理解的笔记进行了优化；早期采用者和产品文档强调了文献综述和购物对比等工作流。相比之下，Atlas 倚重于智能体工作流和 ChatGPT 的规划工具——其承诺与其说是专门的研究 UI，不如说是一个通用的助手，可以从起草电子邮件切换到综合来源，然后自动执行后续步骤。哪一个“最好”取决于任务：当你想要快速进行结构化的多文档综合时，Comet 往往胜出；当你想要一个能够跨应用编排开放式任务的灵活助手时，Atlas 表现更佳。

你应该寻找的生产力功能包括：上下文持久性（助手是否记得标签页历史并允许选择性遗忘？）、明确的研究工具（引用导出、高亮转笔记流程），以及助手在网页上执行操作时的透明度（审计日志或操作历史）。这些微小的设计选择决定了 AI 浏览器是加速了仔细的研究，还是悄悄地隐藏了重要的出处。

安全与隐私风险

浏览器中的智能体 AI 引发了传统浏览中不存在的新型漏洞。Brave 的研究人员展示了当助手盲目摄取页面内容并将隐藏或操纵的文本视为指令时，如何发生间接提示词注入（prompt-injection）攻击；在这种情况下，AI 可能会被诱导执行它不应该执行的操作。一些安全实验室和公司也表明，除非设有强大的护栏，否则自动点击链接和填充表单的助手可能会被用于完成网络钓鱼购买或外泄数据。这些发现迫使供应商重新思考用户意图、网页内容和智能体操作之间的界限。

Comet 已成为几起备受关注的安全披露的焦点。研究人员演示了提示词注入路径，以及浏览器跟随诈骗结账并向虚假网站提供凭据的测试；其他团队随后报告了一个有争议的隐藏 API，如果被滥用，可能允许本地命令调用。Perplexity 反驳了一些指控并发布了补丁，但这些争论强调了智能体能力将数十年来建立的安全假设压缩到了一个新的信任层中。消费者和管理员必须以不同于传统浏览器的方式对待这些浏览器，因为智能体层的一个缺陷就可能暴露已验证的会话和本地资源。

选择和使用 AI 浏览器的实用建议

如果你正在尝试使用 AI 浏览器，请从小处着手，并让高风险任务脱离智能体循环。禁用任何未经明确同意跨标签页操作的功能，避免让助手自动完成购买，并优先选择在使用保存的凭据前要求确认的模式。检查浏览器是否在本地存储记忆，以及你是否可以选择性地清除这些记忆；本地优先模式减少了遥测，但并不能消除智能体风险。此外，明智的做法是在单独的配置文件（profile）或容器中运行智能体任务，这样你已认证的银行或工作会话就能与智能体的活动上下文保持隔离。

从采购或治理的角度来看，应要求供应商提供记录在案的安全设计审查、第三方渗透测试以及明确的漏洞披露政策。供应商应公布智能体可以访问的内容，为自动化任务提供操作日志，并支持针对企业部署的管理控制。在浏览器级标准出现之前，这些供应商提供的保证和补丁发布节奏是降低系统性风险的主要方式。

AI 浏览器在工具链中的位置

将 AI 浏览器视为你与网络之间的一个新层：它们还不是专用研究数据库、文献管理器或仔细的人工验证的替代品。对于常规浏览和快速总结，它们可以节省大量时间；对于结构化任务，它们可以自动化重复步骤。但当准确性、出处和安全性至关重要时（如新闻报道、法律工作或金融领域），请将它们的输出视为需要核实的初稿。如果受到妥善约束，AI 浏览器可以成为效能放大器；如果不受约束，它可能会放大错误并让你面临大规模的诈骗。

展望：标准、护栏与未来一年

浏览器供应商、安全研究人员和标准制定机构才刚刚开始应对智能体浏览带来的影响。我们可以预见快速的迭代：供应商将强化提示词清洗、引入更细粒度的权限模型并发布动作审计，而独立安全实验室将继续对新功能进行压力测试。目前，对大多数用户来说，最安全的路径是谨慎且知情的采用：尝试其带来的生产力提升，但保持敏感操作的人工参与，并要求供应商提供透明度。行业公认标准的出现速度将决定 AI 浏览器是成为可靠的生产力工具，还是成为大规模利用漏洞的常态化来源。

来源

• OpenAI (ChatGPT Atlas 产品发布公告)
• Perplexity / Comet (官方产品页面和功能文档)
• Brave (关于智能体浏览器提示词注入的安全研究博客)
• Guardio (Scamlexity 技术报告)
• SquareX 关于 Comet MCP API 的安全研究