在本研究中,我们探讨了代理浏览器中同源策略(SOP)的有效性。代理浏览器集成了自主 AI 代理,允许用户通过自然语言指令完成网页任务。然而,SOP 作为一种基本的浏览器安全机制,旨在阻止未经授权的跨源数据流,因此在代理浏览器中的表现值得关注。
首先,我们观察到,代理浏览器本身可以作为跨源数据流的自动化通道,这可能导致 SOP 违反。为此,我们构建了 SOPBench,这是一个用于评估代理浏览器中 SOP 违反情况的基准。评估结果表明,现有的代理浏览器在良性设置和攻击情况下都频繁违反 SOP。
为了解决这一问题,我们提出了 SOPGuard,这是一个专为代理浏览器设计的 SOP 强制执行机制。我们在开源代理浏览器 BrowserOS 中实现了 SOPGuard。广泛的评估表明,SOPGuard 能够有效地执行 SOP,同时保持功能性,并仅带来少量的运行时开销。我们的代码和数据可在 GitHub 上获取。
博主点评: 本文通过构建基准和提出解决方案,为代理浏览器中的同源策略安全性提供了重要的实证研究,拓展了浏览器安全机制的研究边界,值得关注。尤其是 SOPGuard 的实现,为安全浏览器的设计提供了新的思路和方向。