事件经过
Google Chrome 开发者团队于 2026 年 6 月 9 日发布了《WebMCP 代理安全考虑》,列举了基于浏览器的 AI 代理的两个主要攻击向量:(1) 恶意清单——工具定义在名称、参数或描述中包含隐藏指令,设计用来劫持代理;以及 (2) 受污染输出——可信工具返回包含注入指令的第三方内容。该指导提供了深度防御框架,分为确定性防护栏(令牌限制、untrustedContentHint 确认、跨源限制、状态更改操作用户确认)和概率性防护栏(通过分隔符或 Base64 编码的聚焦、提示注入分类器、意图对齐和数据最小化的评论家模型)。WebMCP 工具安全配套页面提供了特定的字符预算建议和源范围工具暴露的 API 模式。
影响分析
WebMCP 现在处于 Chrome 149 的原点试用中,将移至稳定版;它引入的安全威胁面——可通过工具元数据被劫持的经过身份验证的浏览器会话代理——是新颖的,不在现有提示注入防御的覆盖范围内。本指导是唯一发布的一手来源框架,特别解决了浏览器代理固有的动态工具表面风险,代表了开发者在构建或部署 WebMCP 启用产品时应立即采用的实践实施基准。
建议行动
将 Google WebMCP 安全指导分发给任何构建浏览器嵌入式代理或使用 WebMCP 的 Chrome 扩展的团队;在任何基于 WebMCP 的代理发布到生产之前,强制四项确定性防护栏(令牌限制、untrustedContentHint、跨源限制、状态更改确认)作为最小部署清单。