1、 AI 网络爬虫安全白皮书 作者：李冠成、王征 腾讯玄武实验室 摘要摘要 AI 应用形态正从单一的 LLM 离线对话，逐步演进为能够调用工具、自主拆解任务的 Agent（智能体）的在线联网形态。无论是处理基础的“联网搜索并综述答案”，还是执行“先搜索公司信息、再查询股价，最后给出投资建议”这类复杂的自动化任务链，浏览器都会被集成到服务端系统中，以提供进行实时联网和内容提取。然而，将本该运行在客户端的浏览器“搬”到服务端运行，这种架构上的错位带来了不容忽视的安全隐患：信任边界模糊：浏览器作为解析外部不可信代码（如 JS、DOM）且高危漏洞频的软件，其所在服务端环境却可能直连企业内网和关键业务系统

2、，极易成为外部攻击渗透内网的突破口。安全水位更低：服务端浏览器常面临补丁更新滞后、运行权限过高等问题；部分厂商为兼顾兼容性甚至关闭原生沙箱机制，导致其安全防护能力往往低于普通客户端浏览器。攻击危害更大：浏览器一旦被攻破，攻击者不仅能窃取任务数据或篡改返回结果以“污染”后续决策流程，利用共享架构横向影响其他产品和用户，更可能以此为跳板横向移动，攻击内网其他核心系统。我们发表在 Blackhat 的一项研究也证实了多个 AI 产品的爬虫具有远程代码执行风险。鉴于服务端浏览器已成为 AI 服务端系统中的关键风险点，而行业内尚缺乏系统性的防护标准，本白皮书旨在填补这一空白。我们详细分析了该场景下的风险

3、特征，并提出了以“静态攻击面收敛+动态行为隔离”为核心的防御框架，助力企业安全负责人和技术团队实现服务端浏览器的安全部署与运维。我们已在 GitHub 上开源了这套方案，希望能够助力行业整体提升服务端浏览器的安全水位。代码地址：https:/ 一、浏览器在一、浏览器在 AI 系统中的系统中的攻防态势变化攻防态势变化 当你启动一个浏览器实例时，你启动的不是一个简单的网页访问工具，而是一个由 V8 引擎、WebRTC 组件、PDF 阅读器、几十种音视频解码器及复杂渲染内核 组成的“微型操作系统”。任何一个组件的漏洞，都有可能引发远程代码执行，因而浏览器一直都是高危漏洞数量、以及可利用漏洞占比都是最

4、多的软件。在 AI 时代，浏览器从用户通向 Web 世界的入口，转变为了支撑 AI 业务运行的基础组件。我们将一个复杂度远超一般服务端组件且漏洞频发的浏览器，放置在攻击价值较高的服务端。这种变化不仅仅是部署位置的迁移，更是带来了一种角色的变化，这种角色变化最终导致了浏览器在服务端的攻防态势的变化。1.1 攻击态势的变化攻击态势的变化 从攻击视角来看，浏览器角色的转变引入了深层次的结构性风险，这种变化可以归纳为以下四个维度：1.补丁+沙箱防御范式的失效：传统浏览器安全高度依赖“自动更新”与“沙箱隔离”。但在服务端，部分开发者为了维持环境一致性而禁用了自动更新；部分开发者为了适配容器架构而关闭了沙

5、箱。这种运维环境的异化，直接导致了传统防御体系的失效，使 N-day 漏洞成为常态化威胁。2.攻击影响范围的扩大：传统浏览器仅影响个人终端。而在服务端，浏览器既是多用户共享的组件，攻击者一旦突破，通过共享环境影响其他用户，如批量控制其他用户联网搜索的结果。3.攻击导致的后果更加严重：传统浏览器的消费者是人，而现在的消费者是 AI。攻击者的目标不再仅仅是获取权限，更可以通过篡改网页内容来“投毒”AI 的知识输入。在“搜索-决策-执行”的自动化链路中，这种数据层面的攻击将直接操纵 AI 的最终决策。此外，服务端环境若没有恰当的隔离，攻击者可以利用其作为跳板，横向移动至核心内网，放大攻击者的危害。4

6、.攻击意愿的提升：由于上述因素，服务端浏览器成为了通往企业核心数据与业务逻辑的捷径。相比于攻击个人用户，攻陷服务端浏览器的收益极高，这促使攻击者愿意投入更高成本（如购买 0-day 漏洞）来针对性地突破防线。1.2 防御态势的变化防御态势的变化 从防御的角度考虑，这种角色变化也造成了防御策略的错位。服务端安全的核心诉求在于最小权限原则，即组件应仅拥有完成特定任务所需的最小能力集合；但现有的浏览器设计为了兼容万维网，默认开启了 WebGL、WebRTC 及各种功能接口，这种“默认开放”的策略与服务端严苛的权限管控背道而驰，导致了攻击面的放大。此外，现代服务端安全通常需要具备高度的可配置性与可运营