
确认按钮之前,三道安全闸门层层设防
AI 能不能自主下单?单论技术能力,它做得到,但必须经过你手动许可。
2026 年 7 月第二周,Anthropic 给 Claude Code 桌面客户端上了内置浏览器,快捷键 Cmd+Shift+B 唤起。Claude 能自己开网页、滚页、点链,全程不用你切窗口——看上去 AI 像是长出了能操作页面的手。
可这双手要是能直接填收货地址、点付款、把整笔单下了,你敢用吗?
Anthropic 的解法是双重安全体系:浏览器绝不让 AI 自主提交订单,所有高危写入操作必须过你审批。
沙箱隔离是底子,不是补丁
先看底层:内置浏览器走独立纯净配置文件,不共用 Chrome 的登录凭证、不读你的浏览记录、不存任何账号密码。
也就是说在这套环境里,Claude 只是个匿名访客。它能访公开站、读公开文档,但不持有你任何平台的登录身份。没登录态,就没权限以你名义做事。
隔离是产品诞生时就内置的,不是后期补的安全补丁。
行为分类器,第二道拦的
即便在匿名沙箱里,Claude 还是能填公开表单、点注册、试着绕验证码。
Anthropic 给的第二道:系统内置行为分类器,实时审网页所有写入类操作。
什么叫"写入"?提交表单、注册账号、发起下单、填支付信息——任何会改外部系统数据状态的行为,执行前先被分类器拦下判风险等级。
这套分类校验不是专为浏览器新写的。2026 年 3 月 Claude Code 自动运行模式(Auto Mode)就已经上了同款架构——每次工具调用前,先让一个独立分类模型(Claude Sonnet 4.6) 做风险评估。
分类器判定优先级:
用户自定义允许/拦截规则,最高
纯读取、工作目录内文件编辑,自动放行
其余全部进分类器风险复核
判有风险直接拦,并告知 Claude 原因,AI 再自己换替代方案
默认拦的高危项包括:下载执行代码、向外传敏感数据、生产环境部署迁移、批量删云存储、授权限、破坏性 Git 操作等。浏览器里下单、注册账号,显然属于"会改外部系统数据的写入",直接拦。
手动明确授权,最后一道锁
分类器拦了不会直接终止,而是暂停,等你确认。
PinPlay、站长之家等多家评测表述一致:"未经用户明确授权,Claude 无法执行购物下单、注册账号、破解验证码等敏感操作。"
"明确授权"四个字是关键——不由 AI 自决,也不按历史操作推断,每项敏感动作都得你手动点。
这套权限逻辑和 Chrome 端 Claude 扩展是统一的。扩展里只要 Claude 想下单、注册、下文件,都会先弹窗问你。
完整链路:Claude 发起下单 → 分类器识为高危写入 → 拦 → 弹确认窗 → 你查看详情 → 手动批准/拒绝。
企业用户还有第四道:域名白名单兜底
企业侧闸门更严。Anthropic 给内置浏览器配了域名白名单——管理员可限定 Claude 只访指定站点,也可直接全局关掉浏览器功能。
也就是说,即便分类器放了、你也手动点了,只要目标域名不在企业白名单,Claude 还是打不开。
四层串起来:
沙箱隔离身份
分类器拦高危
手动授权最后确认
企业白名单兜底
每层都在答同一个问题:这操作该不该交给 AI。
回到开头
AI 能不能自主下单?
单论技术能,但前提是你手动批。Claude 能开购物站、挑商品、加购物车、跳结算——浏览、点击这类基础操作不受限。可一到提交订单、填支付信息这步,分类器立刻断流程,等你按确认。
浏览网页全放,交易下单必审。 这不是 slogan,是划清楚的线:AI 可以替你查、替你填草稿,但最终按确认的那只手,永远在你这儿。
Anthropic 的设计理念很直白:AI 可以接你不愿耗精力的琐事,但绝不能碰你没许可的操作。前者是效率,后者是控制权——而控制权,不能交。
对国内团队而言,Claude 这类内置浏览器、分类器护航的能力目前仍走海外订阅与 API 渠道,高频调用下的账单与合规是绕不开的两笔账。 若想把 Claude、GPT-5.6、Gemini、DeepSeek 等最新模型稳稳接进自有产品与 Agent 工作流,API 聚合层是更轻的起手式。UseAIAPI 聚合了上述全球主流大模型的最新版本,支持企业级定制接入;高频调用场景下综合成本可压至官方定价的五成左右,对 Agent 开发、团队协作与高强度内容生成相对友好。