browser-secure

🛡️ Vault级安全浏览器自动化方案

来自OpenClaw的安全浏览器自动化工具,集成Bitwarden/1Password加密凭证管理,提供四级审批门控与完整审计日志,专为敏感站点自动化与合规场景设计。

收藏
1.3k
安装
605
版本
v1.0.1
CLS 安全性认证2026-05-06
点击查看完整报告 >

使用说明

browser-secure 是一款面向敏感操作场景的企业级浏览器自动化工具,专为解决传统浏览器自动化中凭证暴露、缺乏审计、权限控制粗放等安全痛点而设计。

核心用法

该工具通过 navigateactextract 三大核心指令实现自动化流程。用户可通过 browser-secure navigate <url> 启动隔离的浏览器会话,支持 --auto-vault 自动从 Bitwarden 或 1Password 发现凭证,或指定 --profile 复用现有 Chrome 配置。执行阶段支持自然语言指令(如 act "click the login button"),并能通过 --interactive 开启人机协同的交互式审批模式。会话默认30分钟超时自动清理,确保资源释放与数据安全。

显著优点

最突出的优势是其零信任安全架构:凭证全程由外部 Vault 管理,本地采用 AES-256-GCM 加密缓存,杜绝了传统自动化工具中常见的明文密码暴露问题。工具内置四级审批门控(只读、表单填写、认证、破坏性操作),可根据操作敏感度灵活配置人工确认节点。此外,完整的审计日志链(SHA-256 链式哈希)满足合规要求,网络层限制(阻止 localhost/私有 IP)有效防止横向移动攻击。Chrome Profile 隔离机制确保自动化环境与个人浏览数据完全分离。

潜在缺点与局限性

配置门槛相对较高,必须依赖 Bitwarden 或 1Password CLI 才能实现最佳安全性,纯环境变量模式虽可用但安全性降级。由于安全策略限制,默认30分钟的会话超时对长时任务可能不够友好。此外,工具依赖 Playwright 和外部 Vault CLI,在部分受限网络环境或企业防火墙后可能需要额外代理配置。作为 T3 来源的社区项目,长期维护稳定性虽代码质量优良,但相比商业方案缺乏 SLA 保障。

适合的目标群体

主要面向DevOps 工程师(需安全地自动化 CI/CD 中的登录流程)、安全合规团队(需要审计日志满足 SOC2/ISO27001 要求)、QA 自动化测试人员(处理生产环境敏感数据测试)以及运维人员(管理需要认证的内部系统)。特别适合金融、医疗、企业 SaaS 等对数据隐私要求极高的行业场景。

使用风险

尽管工具本身通过 A 级安全认证,但仍需注意:使用 --skip-approval 标志会绕过所有安全门控,仅在完全隔离的沙箱环境使用;.env 文件存储凭证存在明文泄露风险,仅限私有可信机器临时使用;外部 Vault CLI(bw/op)需保持及时更新以防供应链攻击;复用现有 Chrome Profile 时需确保该 Profile 无恶意扩展或会话劫持风险。

安全解读

核心用法

browser-secure 是专为敏感操作设计的浏览器自动化工具,基于 Playwright 构建,提供三层安全架构:

1. Vault 集成:自动对接 Bitwarden(免费推荐)或 1Password,支持 --auto-vault 智能域名匹配凭证,无需硬编码密码
2. 分级审批:默认无人值守模式,非破坏性操作自动执行;敏感操作(转账、删除)需 --interactive 启用人工确认或 2FA

3. Chrome 隔离:支持创建独立自动化 Profile,或读取现有 Chrome 配置(--profile),但绝不写入原配置

典型工作流:

browser-secure profile --create "Work" --launch  # 创建隔离环境
browser-secure navigate https://bank.com --auto-vault --interactive  # 自动填充+人工确认
browser-secure act "查看最近交易"
browser-secure close  # 自动清理会话

显著优点

| 维度 | 优势 |
|------|------|
| 凭证安全 | 零硬编码密码,AES-256-GCM 加密缓存,内存即用即清 |
| 审计合规 | 完整 SHA-256 链式日志,30分钟会话自动超时 |
| 网络防护 | 默认阻断 localhost/私有 IP,防止 SSRF 横向移动 |
| 易用性 | `--auto-vault` 一键发现凭证,欢迎页引导新用户 |
| 透明度 | 全开源 MIT 协议,静态/动态扫描双通过 |

潜在局限

  • 依赖外部 CLI:需预装 bwop 命令行工具,首次配置有学习成本
  • T3 来源信任:社区维护(openclaw),非商业公司背书,需自行评估
  • 内存明文窗口:凭证解密后短暂存在于内存,虽主动清除但非硬件级防护
  • 审批覆盖风险--skip-approval 标志可绕过所有安全门控,需严格管控使用场景

适合人群

  • 安全运维:需要自动化登录生产系统、抓取敏感数据的工程师
  • 合规团队:满足 SOC2/ISO27001 审计要求的自动化流程
  • 多账户管理:同时操作数十个网站账号,需隔离会话的营销/运营人员
  • 红队/蓝队:需要安全可控的浏览器自动化进行渗透测试或监控

常规风险

| 风险 | 缓解措施 |
|------|---------|
| Vault 凭证泄露 | 使用 API Key 而非主密码,定期轮换 |
| 会话劫持 | 30分钟强制超时,UUID 隔离工作目录 |
| 供应链攻击 | yaml 包已验证为误报,依赖扫描白名单管理 |
| 误操作破坏 | 禁止 `--skip-approval` 生产环境使用,强制 `--interactive` |

browser-secure 内容

assets文件夹
config文件夹
dist文件夹
browser文件夹
config文件夹
security文件夹
vault文件夹
scripts文件夹
src文件夹
browser文件夹
config文件夹
security文件夹
vault文件夹
手动下载zip · 82.5 kB
welcome.htmltext/plain
请选择文件