人在回路中
WebBrain 在你的登录会话里工作,因此必须谨慎对待它的访问能力。
代理能看到并使用你能访问的网站。模式、计划审查与按网站权限可以降低风险,但提示词、目标位置与最终结果仍由你负责。
模式决定工作的类型
询问 Ask语义阅读与研究工具;不点击、不输入、不导航、不上传、不修改网页。
执行 Act完成你明确要求的普通浏览器操作;关键操作仍需经过权限闸门。
开发 Dev在 Act 基础上增加源码、样式、DOM、框架和调试工具;需要 Mid 或 Full 提供商。
能通过阅读完成的任务就用 Ask;必须改变网页时才切到 Act;Dev 用于网页开发与排错,不是“让弱模型变聪明”的模式。
权限针对具体能力
关键操作前,WebBrain 可让你选择“允许一次”“始终允许该网站的此类能力”或“不允许”。永久记录是一个明确的 网站 + 能力 组合。

| 选择 | 何时使用 | 以后会怎样 |
|---|---|---|
| 允许一次 | 当前操作合理,但你不想长期授权。 | 下次需要同类能力时重新询问。 |
| 始终允许 | 你信任该网站并会重复同类操作。 | “网站 + 能力”记录出现在设置中。 |
| 不允许 | 操作、目标或时机不正确。 | 操作被阻止,你仍可控制当前运行。 |
网页内容不受信任,即使网站看起来很熟悉
网页可能包含专门操纵 AI 代理的文字。WebBrain 会把网页派生内容包裹为不受信任数据,并用模式与权限限制动作范围;这些防御能降低风险,但无法保证所有模型和网页都安全。
- 代理开始执行你没有提出的指令时立即停止。
- 在医疗、金融、约会、私密账户和内部工作页面上格外谨慎。
- 提交前检查目标地址与表单值。
- 不要让 Act 模式无人值守地处理陌生人可编辑的页面。
LLM 提供商属于信任边界
当前提供商会收到任务所需的对话与网页内容。请选择你能接受其隐私条款与运行方式的提供商。
两个容易混淆的覆盖项
| 覆盖项 | 范围 | 变化 |
|---|---|---|
/allow-api | 当前对话 | 允许写入型网络请求(POST、PUT、PATCH、DELETE);重置后清除,并不会取消其他所有权限。 |
/dangerously-skip-permissions | 全局,直到重新开启 | 关闭所有网站和所有能力的“关键操作前询问”。 |
永远优先选择更窄的授权
如果只信任一个网站的一类操作,就在正常权限提示中授权该能力,不要为了少点一次确认而关闭全局闸门。
哪些数据留在浏览器,哪些可能离开
| 数据 | 存储位置 | 何时发送 |
|---|---|---|
| 聊天历史 | 浏览器本地存储 / IndexedDB | 运行时,相关对话上下文发送给当前 LLM 提供商。 |
| 提供商设置与 API 密钥 | 浏览器本地明文 | 密钥发送给对应提供商用于认证。 |
| 个人资料自动填充 | 浏览器本地明文 | 启用后作为系统提示上下文发送给当前提供商。 |
| 用户记忆 | 浏览器本地明文 | 活动记录作为系统提示上下文发送。 |
| 追踪与截图 | 启用追踪时保存在本地 IndexedDB | 追踪记录器不会上传;导出会生成本地文件。 |
| 加密云同步 | 云端不透明密文副本 + 本地数据 | 支持的密钥、个人资料和记忆在上传前加密;同步密码不会发送或存储。 |
计划任务需要更严格的默认值
计划任务可能在你没有观看时运行。保持“确认计划任务的关键操作”开启。提示词应明确目标 URL、时间、预期结果与停止条件。
更安全的计划任务提示词
“上午 9 点打开这个仪表盘,读取新状态并总结。不要提交、确认或编辑任何内容。” 边界和任务本身同样重要。
重要 Act 运行前
- 确认当前提供商与模型。
- 用新对话执行边界清晰的任务。
- 保持计划审查和权限闸门开启。
- 写明代理不得进行的操作。
- 随时准备处理权限与澄清提示。
- 遇到意外跳转、凭据处理或重复动作时停止。
- 核实真实结果,不要只相信最终摘要。
