
阅读与交易之间,一道沙箱安全隔离墙
按下快捷键 Cmd+Shift+B(Windows 为 Ctrl+Shift+B),Claude Code 桌面客户端侧边栏即会弹出一个浏览器窗口。它不是你电脑上的 Chrome,也不是 Safari,而是一套干净、无浏览记录、不保存密码、完全隔离的沙箱环境。
Anthropic 于 2026 年 7 月 10 日正式发布这项更新,其官方账号 ClaudeDevs 在 X 平台的说明颇为直白:"Claude 可以调取文档、设计稿或任意网页,像调试本地开发服务一样浏览页面、点击跳转、交互内容。"
但真正值得深究的,并非"AI 能够独立浏览网页"这件事——毕竟 Claude Code 早已通过 Chrome 扩展支持操控浏览器。核心的设计巧思在于,Anthropic 刻意将"纯信息查阅"和"代你执行账号操作"拆成了两套互不打通的独立通路。
两套浏览器,两种身份定位
翻阅 Claude Code 官方文档,能清晰看到两条泾渭分明的使用路径:
内置浏览器面板:独立配置文件,完全不共用你的登录凭证与浏览历史,适用于项目搭建、功能测试,以及无需登录即可访问的公开站点。
Chrome 扩展(Chrome 端 Claude 工具):同步你浏览器的全部登录状态,适合 Claude 依托你的账号身份,在已登录页面代为操作。
这套底层逻辑的趣味在于:绝大多数同类产品的浏览器功能,思路都是"让 AI 借用你的浏览器"——相当于借走你的私家车、车钥匙和行车记录。而 Anthropic 选了另一条路:给 AI 配一台公用公务车,任何人都能用,操作无痕,但碰不了涉及个人身份的敏感事务。
想让 AI 查 React 文档、翻 GitHub issue、预览设计稿?内置浏览器放心交出去。
想让 AI 填工单、提 MR、操作内部系统?切 Chrome 扩展,AI 持你的权限执行。
两类场景,两套风险模型,两套独立工具。这不是功能重复,而是基于安全架构的分层隔离。
沙箱不是装饰,是不可退让的底线
内置浏览器全程跑在沙箱隔离环境里。Anthropic 内置的分类器会实时审核网页上的所有写入类操作——表单提交、注册账号、下单购物、绕验证码等敏感行为,只要没有用户显式批准,系统直接拦截。
首次访问任意网站,都会弹出权限面板:仅本次允许、始终允许、拒绝访问。权限按站点单独分配,子域名也分开管控。企业管理员还可通过域名白名单限定 AI 可访范围,甚至直接关停该功能。
这套精细化权限体系,延续的是 Anthropic 一贯的安全哲学:不做"全自动/全手动"的二元极端,而是对每一个站点、每一类操作单独授权。
巨头同步转向,但底色不同
几乎同一时期,OpenAI 宣布下线 ChatGPT Atlas 独立浏览器,转而押注桌面客户端内置浏览器方案。两大 AI 巨头奔向同一方向:把浏览器深度集成进 AI 客户端,而非让 AI 去适配外部第三方浏览器。
但趋同之下仍有分歧。OpenAI 更偏"把浏览器窗口搬进应用";Anthropic 则从零搭了一套浏览器环境,把"隔离安全"当第一准则。这不是技术高低之分,而是两家对"AI 与网页该是什么关系"的理解不同。
Anthropic 给出的答案是:AI 可以有专属浏览器,但不能持你的个人身份;能替你查资料,不能替你下单;能自主检索,但无权替你对隐私资产做任何决定。
读公开网页不受限,涉交易操作必须经你确认。 这不止是一句产品话术,更是一条清晰边界——AI 是工具,最终决策权永远在人。
开发者工具的下一程
回到开发者日常。过去 Claude Code 的能力边界卡在"本地文件 + 命令行":读代码、改文件、跑脚本。但实际开发里大量工作离不开浏览器——查 API 文档、看设计稿、调本地服务、翻 GitHub issue。以前你得手动切浏览器,再把内容复制回对话窗。
现在 Claude 能在同一段会话里打开文档、点链接、跟网页交互,窗口切换不打断上下文,也无需手贴网址。
当 AI 原生能力从"读写本地文件"延伸到"读写网页内容",它的信息感知半径直接扩了一个量级。各类文档、设计稿、线上业务系统、内部平台,全成了它可自主访问、自主调取的信息源。
Cmd+Shift+B 只是一串快捷键,但它推开了一扇门。门后,AI 有了专属的"双眼"——能阅尽互联网公开资料,却永远碰不到你的账号密码。
对国内团队而言,这类能力目前主要通过海外订阅渠道释放。若想把 Claude、GPT-5.6、Gemini 等最新模型接进自有产品与工作流,API 层是更现实的路径。 UseAIAPI 聚合了 Claude、Gemini、ChatGPT、DeepSeek 等全球主流大模型的最新版本,支持企业级定制化接入;在高频调用场景下,综合成本可压至官方定价的五成左右,对高强度内容生成与 Agent 开发相对友好。