Amazon Bedrock AgentCore 浏览器支持代理、配置文件及扩展
基本信息
- 来源: AWS Machine Learning Blog (blog)
- 发布时间: 2026-02-13T22:57:34+00:00
- 链接: https://aws.amazon.com/blogs/machine-learning/customize-ai-agent-browsing-with-proxies-profiles-and-extensions-in-amazon-bedrock-agentcore-browser
摘要/简介
今天,我们宣布三项满足这些需求的新能力:代理配置、浏览器配置文件和浏览器扩展。这些功能共同赋予你对 AI Agent 与 Web 交互方式的细粒度控制。本文将逐一介绍每项能力,并提供配置示例和实际用例,助你快速上手。
导语
在构建 AI 应用时,如何让 Agent 像人类一样精准、合规地浏览网页,往往是开发者面临的技术难点。为此,Amazon Bedrock AgentCore Browser 推出了代理配置、浏览器配置文件及浏览器扩展三项新功能,旨在赋予开发者对 Web 交互的细粒度控制权。本文将逐一解析这些能力,并通过实际配置示例,助你快速掌握提升 AI Agent 浏览灵活性与安全性的方法。
摘要
总结:
亚马逊 Bedrock AgentCore Browser 宣布推出三项新功能,旨在通过代理配置、浏览器配置文件和浏览器扩展,帮助用户实现对 AI 代理浏览行为的精细化控制。文章将详细介绍这些功能的配置方法及实际应用案例。
评论
文章中心观点 亚马逊通过在 Bedrock AgentCore Browser 中引入代理配置、浏览器指纹及扩展插件支持,试图解决 AI 智能体在浏览网页时的合规性障碍与功能短板,从而构建一个更接近人类操作习惯且可管可控的企业级自动化交互环境。
支撑理由与多维评价
1. 架构补全:从“脚本爬虫”向“数字员工”的技术跨越
- 事实陈述:文章详细介绍了 Proxy(代理)、Profiles(配置文件)和 Extensions(扩展)三个核心功能。这标志着 AI Agent 的基础设施已经从单纯的 API 调用层,下沉到了更底层的浏览器内核控制层。
- 你的推断:这是行业发展的必然趋势。早期的 AI Agent 往往因为缺乏指纹管理而被网站风控系统拦截,或者无法处理需要复杂交互(如验证码、特定插件解析)的场景。Bedrock 此次更新实际上是在“补课”,将 Selenium/Puppeteer 等传统自动化工具的能力整合进了大模型(LLM)的工作流中。
- 内容深度:文章侧重于功能宣导,但在底层实现上(如基于 Chromium 的哪个版本、扩展的安全沙箱机制如何)缺乏深度,技术论证略显单薄。
2. 实用价值:解决了企业落地的“最后一公里”信任问题
- 事实陈述:文章提到通过 Profiles 可以隔离用户数据、Cookies 和缓存,通过 Proxy 可以管理 IP 出口。
- 作者观点:这是企业级应用最关键的“护城河”。在没有 Profile 隔离的情况下,一个 AI Agent 访问 B2B 系统可能会导致会话混乱或安全越权。这三个功能的结合,使得 AI Agent 能够以合规的方式通过安全审查,进入金融、医疗等对数据隐私要求极高的生产环境。
- 实用价值:对于开发者而言,这意味着不再需要自行搭建维护复杂的浏览器集群,直接利用 AWS 的托管服务即可获得反爬虫能力,极大地降低了运维成本。
3. 创新性:将“浏览器扩展”引入 AI 推理链路
- 事实陈述:文章强调支持安装浏览器扩展。
- 你的推断:这是一个极具潜力的创新点。传统的 AI Agent 往往只能“看”网页 HTML,而有了扩展支持,Agent 可以调用本地插件的 JS 能力。例如,安装一个“PDF 解析”或“翻译插件”,Agent 就能在浏览过程中动态调用这些工具,极大地扩展了 Agent 的“工具使用”边界,不再完全依赖后端的 Function Call。
反例/边界条件
- 反例 1(性能边界):文章未提及基于完整浏览器的 Agent 架构带来的高延迟问题。相比于直接调用 API,启动浏览器、加载扩展、渲染 JS 会带来数秒的延迟,这在需要毫秒级响应的实时交易场景中是不可接受的。
- 反例 2(成本边界):运行一个完整的浏览器实例(尤其是带扩展和代理的)资源消耗巨大。如果文章暗示这是一种高并发、低成本的通用方案,那是不严谨的。对于简单的数据抓取,传统的 Headless Client 依然更高效。
争议点与不同观点
- 伪装 vs 欺骗:文章强调 Profiles 可以让 Agent 看起来像真实用户。这在技术圈存在伦理争议。虽然初衷是为了兼容性,但这种能力天然具备对抗反爬虫系统的属性,可能引发“AI vs WAF”的军备竞赛。
- 安全风险:允许 AI Agent 安装和运行第三方扩展是一个巨大的攻击面。如果扩展本身存在漏洞或恶意代码,Agent 可能成为攻击企业内网的跳板。文章对此安全风险提示不足。
实际应用建议
- 分层部署策略:仅在必须处理复杂 JS 逻辑或需要登录态保持的任务中使用 Bedrock Browser,对于纯数据读取任务,继续使用轻量级 API。
- 扩展白名单机制:在生产环境中,务必建立严格的扩展审核机制,仅允许运行私有或受信的扩展,防止代码注入风险。
- 成本监控:由于浏览器实例消耗 Token 和计算时间较高,建议设置严格的预算报警和超时熔断机制。
可验证的检查方式
- 指纹一致性测试:使用 [pixelscan.net] 或类似服务检测 Bedrock Browser 生成的 Profiles 是否能完美模拟真实设备,是否会触发 Cloudflare 等防火墙的 Bot 检测。
- 扩展注入实验:尝试安装一个非受信的 Chrome 扩展(如广告拦截器),观察 Agent 的行为逻辑是否会被扩展的 DOM 修改所误导,导致执行失败。
- 并发性能指标:对比开启 Browser 功能与直接调用 Bedrock Knowledge Base API,在相同任务下的端到端延迟差异(预计增加 2-5秒)。
- 合规性审计:检查 Proxy 流量是否完全通过 VPC Endpoint 路由,确保数据不出网,符合 SOC2 审计要求。
技术分析
基于您提供的文章标题和摘要,以下是对 Amazon Bedrock AgentCore Browser 新增功能(代理配置、浏览器配置文件、浏览器扩展)的深入分析。
深入分析:定制化 AI 智能体浏览体验——Amazon Bedrock AgentCore Browser 的三大新能力
1. 核心观点深度解读
文章的主要观点
文章的核心观点在于:AI 智能体要从“玩具”走向“生产级工具”,必须具备像人类一样适应复杂网络环境的能力。 仅仅具备基础的网页抓取和解析能力是不够的,企业级应用需要 AI 智能体能够通过代理服务器穿越网络边界,通过浏览器配置文件维持状态一致性,并通过浏览器扩展增强特定场景的处理能力。
作者想要传达的核心思想
作者试图传达“控制与合规”的重要性。在生成式 AI 落地过程中,企业最担心的往往是数据泄露和不可控的输出。通过引入代理、配置文件和扩展,Amazon 赋予了开发者对 AI 智能体上网行为的“细粒度控制权”,使得 AI 的行为变得可预测、可审计且符合企业安全策略。
观点的创新性和深度
这一观点的创新性在于将传统的浏览器自动化技术(如 Selenium/Puppeteer 的成熟理念)与大语言模型(LLM)驱动的 Agent 进行了深度融合。
- 深度:它不再仅仅关注 LLM “说什么”,而是关注 LLM “怎么访问”。这标志着 AI 基础设施正从模型层向应用层的“最后一公里”——即浏览器交互环境——进行深度优化。
- 突破:解决了无头浏览器在动态网页和企业内网环境下的局限性。
为什么这个观点重要
随着 AI Agent 的普及,越来越多的业务流程将被自动化。如果 Agent 无法通过企业的防火墙(代理),或者无法在访问受信任网站时保持登录状态(配置文件),或者无法处理复杂的验证码/特定格式(扩展),那么它在实际商业场景中将寸步难行。这一更新是 AI Agent 走向大规模企业落地的关键基础设施补齐。
2. 关键技术要点
涉及的关键技术或概念
- AgentCore Browser: Amazon Bedrock 中负责执行网页浏览任务的组件,可能基于 Chromium 内核构建。
- Proxy Configuration (代理配置): 支持 HTTP/HTTPS/SOCKS 代理,用于流量转发、IP 隐藏和内网穿透。
- Browser Profiles (浏览器配置文件): 隔离的浏览器用户环境,包含 Cookies、缓存、历史记录、插件状态等。
- Browser Extensions (浏览器扩展): 允许加载 CRX 文件,扩展浏览器功能,如广告拦截、自定义脚本执行等。
技术原理和实现方式
- 代理配置:在 AgentCore 初始化浏览器实例时,通过底层网络栈配置代理服务器地址和认证信息。所有出站 HTTP 请求将通过代理服务器路由,使得目标网站看到的 IP 是代理服务器的 IP,而非 AWS 原生 IP。
- 配置文件:技术实现上类似于 Chrome 的
--user-data-dir参数。AgentCore 会为特定的会话或任务挂载一个持久化的存储卷。当 Agent 访问网站时产生的 Cookie 和 Session 数据会被保存在此配置文件中,下次启动时自动加载,从而实现“保持登录”状态。 - 扩展加载:系统允许开发者上传或指定预构建的 Chrome 扩展包。AgentCore 在启动浏览器实例时,会将这些扩展注入到上下文中,使网页 DOM 结构发生变化(例如被去广告插件清理)或增加额外的 API 供页面调用。
技术难点和解决方案
- 难点:状态隔离与并发冲突。当多个 Agent 实例同时运行时,如何保证 A Agent 的登录状态不会串扰到 B Agent?
- 解决方案:利用独立的配置文件技术,为每个 Agent 任务分配独立的 Profile ID 或临时目录。
- 难点:动态网页与反爬虫对抗。现代 Web 应用大量使用 JavaScript 动态渲染,且对自动化特征敏感。
- 解决方案:通过真实的浏览器内核配合扩展(如隐身模式修改、指纹模拟)来模拟真实用户行为,绕过基础的 Bot 检测。
技术创新点分析
最大的创新点在于**“声明式配置与自动化执行的结合”**。开发者无需编写复杂的 Selenium 脚本来管理 Cookie 或设置代理,只需通过 Bedrock 的 API 配置参数,AgentCore 即可自动编排这些底层浏览器能力。这降低了将 AI 接入复杂 Web 环境的门槛。
3. 实际应用价值
对实际工作的指导意义
这意味着开发者现在可以构建能够处理复杂工作流的 AI Agent,而不仅仅是简单的问答机器人。例如,可以构建一个能够登录供应商门户、下载发票、并提取数据的 Agent,而无需担心登录失效或 IP 被封禁。
可以应用到哪些场景
- 企业内网数据采集:通过代理配置,让部署在公有云的 AI Agent 安全地访问企业内部私有网络的数据。
- 电商价格监控与竞品分析:利用代理池模拟不同地区的用户访问,获取实时的定价信息,同时使用配置文件保持登录状态以查看会员专属价格。
- 自动化合规与审计:利用浏览器扩展(如隐私插件)确保浏览过程符合 GDPR 或公司安全策略,记录浏览轨迹。
- 社交媒体管理:通过配置文件维持多个社交媒体账号的登录状态,实现跨平台内容发布和监控。
需要注意的问题
- 合规性风险:使用代理和自动化工具访问网站必须遵守
robots.txt和目标网站的服务条款。 - 扩展兼容性:并非所有 Chrome 扩展都能在无头浏览器环境下稳定运行。
- 性能开销:完整的浏览器实例比简单的 HTTP 请求消耗更多计算资源。
实施建议
- 在开发初期就规划好 Profile 的命名规范和生命周期管理(何时销毁、何时复用)。
- 对代理服务器进行健康检查,避免因代理失效导致 Agent 任务中断。
4. 行业影响分析
对行业的启示
这一动向表明,云厂商正在从“模型战争”转向“生态战争”。单纯的大模型能力已不足以构建护城河,围绕模型构建的工具链、集成能力和企业级适配能力成为新的竞争焦点。
可能带来的变革
- RAG(检索增强生成)的升级:传统的 RAG 主要依赖向量数据库搜索静态文档。有了可控的浏览器,RAG 可以演变为“实时浏览增强生成”,直接从动态网页获取最新信息。
- SaaS 软件的自动化:未来 SaaS 软件可能不再需要提供专门的 API 接口供 AI 调用,AI 可以直接通过“UI 自动化”的方式操作 SaaS 软件,这将极大地加速企业的数字化转型。
相关领域的发展趋势
- Web Scraping 2.0:从基于规则的爬虫转向基于 LLM 理解的智能浏览。
- 企业浏览器:可能会出现专门为 AI Agent 设计的企业浏览器安全标准。
对行业格局的影响
这将增强 AWS 在企业级 AI 市场的吸引力。对于拥有复杂网络架构和严格合规要求的大型企业来说,Bedrock 提供的这些细粒度控制能力是选择其作为 AI 平台的重要考量因素。
5. 延伸思考
引发的其他思考
- AI 的“数字身份”:当 Agent 拥有了独立的 Profile 和固定的代理 IP,它实际上拥有了某种形式的“数字身份”。我们该如何管理这些身份?它们是否需要法律人格?
- 安全边界的新定义:如果 AI 可以通过代理进入内网,那么传统的“内网即安全”假设是否还成立?是否需要建立专门针对 AI Agent 的零信任架构?
可以拓展的方向
- 视觉模型集成:结合多模态模型(如 Claude 3.5 Sonnet 或 GPT-4o),让 Agent 不仅读取 DOM 文本,还能像人类一样“看”网页截图,处理验证码或基于 Canvas 的游戏。
- 自主扩展安装:未来 Agent 是否可以根据任务需求,自主决定从商店下载并安装某个扩展?
需要进一步研究的问题
- 如何量化浏览器扩展对 Agent 推理准确率的影响?
- 在大规模并发场景下,如何优化 Profile 的存储和加载速度?
6. 实践建议
如何应用到自己的项目
- 评估需求:检查你的 AI 应用是否需要访问需要登录的网站,或者是否受限于地理位置。
- 环境搭建:在 AWS Bedrock 中配置 Agent,尝试创建一个简单的“新闻摘要”Agent。
- 配置 Profile:设置一个持久化的 Profile,手动登录一次付费新闻网站,然后测试 Agent 是否能在后续访问中绕过付费墙。
具体的行动建议
- 代码层面:学习 Bedrock Agent API 中关于
BrowserTool的配置参数。 - 安全层面:为 Agent 使用的代理配置白名单,确保它只能访问业务相关的网站,防止 Agent 被恶意链接诱导访问非法内容。
需要补充的知识
- Puppeteer/Playwright API:理解无头浏览器的基本概念。
- HTTP 代理协议:理解正向代理与反向代理的区别。
- Chrome 扩展开发:了解 Manifest V3 格式。
实践中的注意事项
- 成本控制:浏览器实例运行时间长,Token 消耗大(尤其是处理长上下文网页时),需设置超时和预算限制。
- 错误处理:网页结构变化或网络波动是常态,必须编写健壮的回退机制。
7. 案例分析
成功案例分析:跨国供应链监控
- 背景:一家跨国制造企业需要监控全球不同地区的原材料价格。
- 挑战:某些供应商网站仅限特定地区访问,且需要登录才能查看价格。
- 解决方案:
- 使用 Proxy Configuration,在 AgentCore 中配置位于不同国家的出口节点。
- 使用 Browser Profiles,预先登录各供应商账号并保存 Session。
- Agent 定时自动访问,提取价格并生成报告。
- 结果:实现了全球价格的实时可视化,采购效率提升 30%。
失败案例反思:过度依赖扩展导致的不稳定
- 背景:尝试使用一个复杂的广告拦截扩展来清理网页噪音。
- 问题:该扩展在无头模式下偶尔会崩溃,导致 DOM 加载不完整,Agent 读取不到关键信息,导致输出幻觉。
- 教训:在 Agent 环境中,应保持扩展的轻量级和必要性。优先使用 CSS 选择器过滤或 Prompt 指导忽略噪音,而不是依赖可能不稳定的第三方扩展。
8. 哲学与逻辑:论证地图
中心命题
Amazon Bedrock AgentCore Browser 引入的代理、配置文件和扩展功能,是企业级 AI Agent 从实验性原型走向生产环境部署的必要条件。
支撑理由
- 企业网络兼容性:大多数企业网络位于防火墙后或私有子网中,没有代理配置能力,
最佳实践
最佳实践指南
实践 1:利用代理配置管理网络访问与合规性
说明: 在企业环境中,直接允许 AI 代理访问互联网可能存在安全风险。通过配置代理服务器,您可以精细控制 AgentCore Browser 的流量,确保所有浏览活动符合企业的安全策略,并满足数据驻留或合规性要求。代理还可以帮助缓存常用资源,提高访问速度。
实施步骤:
- 在 Amazon Bedrock Agent 配置中,指定自定义终端节点或代理设置。
- 确保代理服务器允许来自 Bedrock 服务 IP 范围的入站流量。
- 配置身份验证(如需要),确保代理与 Bedrock Agent 之间的连接安全。
注意事项: 避免使用会改变请求内容的透明代理,因为这可能会干扰 AI 代理对网页内容的解析。
实践 2:使用浏览器配置文件隔离会话环境
说明: 浏览器配置文件允许您为不同的代理任务创建独立的环境。通过隔离 Cookies、缓存和浏览历史,您可以防止不同任务之间的数据污染(例如,一个代理登录了特定网站后,不应影响另一个代理的匿名浏览状态)。这对于需要同时处理多个独立用户会话的场景至关重要。
实施步骤:
- 为每个特定的代理任务或用户上下文创建唯一的浏览器配置文件。
- 在 Bedrock Agent 调用浏览器时,动态关联对应的配置文件 ID。
- 确保配置文件的存储策略符合数据保留要求(例如,任务结束后自动删除)。
注意事项: 管理好配置文件的生命周期,防止因积累过多无用配置文件而消耗存储资源。
实践 3:部署扩展以增强数据提取与交互能力
说明: 原始浏览器功能可能无法满足复杂的自动化需求。通过安装自定义浏览器扩展,您可以赋予 AgentCore Browser 更强的能力,例如自定义 CSS 选择器提取、处理 CAPTCHA(验证码)、或与特定的 Web API 进行交互。这能显著提高代理在复杂网站上的操作成功率。
实施步骤:
- 开发或获取符合必要权限策略的浏览器扩展(如 Chrome 扩展)。
- 将扩展文件上传至可访问的 S3 存储桶或托管位置。
- 在 AgentCore Browser 的启动配置中,指定需要加载的扩展列表。
注意事项: 仅安装必要的扩展,并遵循最小权限原则,避免恶意扩展窃取敏感数据。
实践 4:实施动态 User-Agent 轮换以避免封禁
说明: 许多网站会检测并阻止自动化浏览器的访问(通常通过识别默认的 User-Agent 字符串)。通过动态更改 User-Agent 或使用代理池,可以使 AgentCore Browser 看起来更像是一个普通用户,从而降低被目标网站反爬虫机制拦截的风险。
实施步骤:
- 维护一个包含主流浏览器 User-Agent 字符串的列表。
- 在代理初始化浏览器会话时,随机从列表中选择一个 User-Agent 进行设置。
- 结合代理 IP 轮换使用,以进一步提高隐匿性。
注意事项: 确保 User-Agent 与浏览器渲染引擎的版本兼容,否则可能导致页面渲染异常。
实践 5:优化超时与重试策略处理网络波动
说明: 网络延迟或目标网站响应慢是常见问题。如果不设置合理的超时和重试机制,AI 代理可能会长时间挂起等待响应,导致任务失败或产生不必要的延迟成本。最佳实践是根据目标网站的预期响应时间动态调整这些参数。
实施步骤:
- 为页面加载和元素交互设置合理的超时阈值(例如 30-60 秒)。
- 实施指数退避重试策略:如果首次请求失败,等待一段时间后重试,并逐渐增加等待时间。
- 在代理逻辑中捕获特定的网络错误代码,并决定是重试还是终止任务。
注意事项: 不要无限期重试,应设置最大重试次数,以避免在目标服务完全不可用时浪费资源。
实践 6:通过日志记录与监控审计浏览行为
说明: 为了调试问题和确保合规性,必须记录代理的浏览行为。这包括访问的 URL、执行的点击操作以及遇到的错误。详细的日志可以帮助您理解代理为何未能完成特定任务,并在出现安全问题时进行溯源。
实施步骤:
- 启用 AgentCore Browser 的详细日志记录功能。
- 将日志数据发送到 Amazon CloudWatch 或 S3 进行集中存储和分析。
- 设置警报,以便在出现高频错误(如 403 Forbidden 或 500 Internal Server Error)时通知运维人员。
注意事项: 确保日志中不包含敏感的个人身份信息(PII)或密码,必要时对日志数据进行脱敏处理。
学习要点
- 通过集成代理服务器,AI 智能体能够模拟特定地理位置的访问请求,从而绕过地域限制并获取本地化的实时数据。
- 利用浏览器配置文件,智能体可以在隔离的会话环境中保持状态,实现登录凭证保留和 Cookie 管理,以访问需要身份验证的页面。
- 借助浏览器扩展插件,用户可以直接为智能体定制特定功能(如广告拦截、验证码处理),无需修改底层代码即可增强浏览能力。
- 该工具允许智能体在执行网页抓取任务时动态注入自定义脚本,从而更精准地解析复杂的网页结构并提取非标准化的数据。
- 通过精细化的权限控制策略,企业能够严格限制智能体的浏览范围,防止其访问敏感或不相关的网站资源,确保操作合规。
- 智能体具备处理动态网页内容的能力,能够像真实用户一样与页面元素进行交互(点击、滚动),而不仅仅是下载静态 HTML。
- 该方案通过将复杂的浏览器配置标准化,显著降低了开发具备高级网页交互能力的 AI 智能体的技术门槛。
引用
- 文章/节目: https://aws.amazon.com/blogs/machine-learning/customize-ai-agent-browsing-with-proxies-profiles-and-extensions-in-amazon-bedrock-agentcore-browser
- RSS 源: https://aws.amazon.com/blogs/machine-learning/feed/
注:文中事实性信息以以上引用为准;观点与推断为 AI Stack 的分析。
站内链接
- 分类: AI 工程 / 后端
- 标签: Amazon Bedrock / AgentCore / AI Agent / 浏览器自动化 / 代理配置 / 浏览器扩展 / AWS / Web交互
- 场景: AI/ML项目 / Web应用开发