人在回路中

WebBrain 在你的登录会话里工作,因此必须谨慎对待它的访问能力。

代理能看到并使用你能访问的网站。模式、计划审查与按网站权限可以降低风险,但提示词、目标位置与最终结果仍由你负责。

模式决定工作的类型

询问 Ask语义阅读与研究工具;不点击、不输入、不导航、不上传、不修改网页。
执行 Act完成你明确要求的普通浏览器操作;关键操作仍需经过权限闸门。
开发 Dev在 Act 基础上增加源码、样式、DOM、框架和调试工具;需要 Mid 或 Full 提供商。

能通过阅读完成的任务就用 Ask;必须改变网页时才切到 Act;Dev 用于网页开发与排错,不是“让弱模型变聪明”的模式。

权限针对具体能力

关键操作前,WebBrain 可让你选择“允许一次”“始终允许该网站的此类能力”或“不允许”。永久记录是一个明确的 网站 + 能力 组合。

WebBrain 权限设置英文界面,显示总开关与不同能力授权
允许输入不会自动允许下载、上传、执行 JavaScript 或安排任务。
选择何时使用以后会怎样
允许一次当前操作合理,但你不想长期授权。下次需要同类能力时重新询问。
始终允许你信任该网站并会重复同类操作。“网站 + 能力”记录出现在设置中。
不允许操作、目标或时机不正确。操作被阻止,你仍可控制当前运行。

网页内容不受信任,即使网站看起来很熟悉

网页可能包含专门操纵 AI 代理的文字。WebBrain 会把网页派生内容包裹为不受信任数据,并用模式与权限限制动作范围;这些防御能降低风险,但无法保证所有模型和网页都安全。

  • 代理开始执行你没有提出的指令时立即停止。
  • 在医疗、金融、约会、私密账户和内部工作页面上格外谨慎。
  • 提交前检查目标地址与表单值。
  • 不要让 Act 模式无人值守地处理陌生人可编辑的页面。
LLM 提供商属于信任边界

当前提供商会收到任务所需的对话与网页内容。请选择你能接受其隐私条款与运行方式的提供商。

两个容易混淆的覆盖项

覆盖项范围变化
/allow-api当前对话允许写入型网络请求(POST、PUT、PATCH、DELETE);重置后清除,并不会取消其他所有权限。
/dangerously-skip-permissions全局,直到重新开启关闭所有网站和所有能力的“关键操作前询问”。
永远优先选择更窄的授权

如果只信任一个网站的一类操作,就在正常权限提示中授权该能力,不要为了少点一次确认而关闭全局闸门。

哪些数据留在浏览器,哪些可能离开

数据存储位置何时发送
聊天历史浏览器本地存储 / IndexedDB运行时,相关对话上下文发送给当前 LLM 提供商。
提供商设置与 API 密钥浏览器本地明文密钥发送给对应提供商用于认证。
个人资料自动填充浏览器本地明文启用后作为系统提示上下文发送给当前提供商。
用户记忆浏览器本地明文活动记录作为系统提示上下文发送。
追踪与截图启用追踪时保存在本地 IndexedDB追踪记录器不会上传;导出会生成本地文件。
加密云同步云端不透明密文副本 + 本地数据支持的密钥、个人资料和记忆在上传前加密;同步密码不会发送或存储。

计划任务需要更严格的默认值

计划任务可能在你没有观看时运行。保持“确认计划任务的关键操作”开启。提示词应明确目标 URL、时间、预期结果与停止条件。

更安全的计划任务提示词

“上午 9 点打开这个仪表盘,读取新状态并总结。不要提交、确认或编辑任何内容。” 边界和任务本身同样重要。

重要 Act 运行前

  1. 确认当前提供商与模型。
  2. 用新对话执行边界清晰的任务。
  3. 保持计划审查和权限闸门开启。
  4. 写明代理不得进行的操作。
  5. 随时准备处理权限与澄清提示。
  6. 遇到意外跳转、凭据处理或重复动作时停止。
  7. 核实真实结果,不要只相信最终摘要。