6月7日,OpenAI这边悄无声息地上线了一项新设置——“封锁模式”(Lockdown Mode)。说白了,这就是一个可选的安全开关。用户一旦开启,ChatGPT的实时联网、深度研究、智能体这些“手长”的能力就会被限制住,目的是降低一个越来越棘手的安全隐患:敏感数据因为提示注入攻击(prompt injection)而被带走。
从OpenAI帮助中心的信息来看,Lockdown Mode现在已经面向所有已登录用户开放,不管是个人账户还是工作区都能用。个人用户想打开,路径是“设置-安全”里找;工作区的管理员则可以通过工作区设置和角色权限来统一配置。
那么,它到底防的是哪类风险?
提示注入攻击,本质上就是把恶意指令藏在网页、文档或者外部内容里。当ChatGPT去读取这些东西时,模型看到这些指令后,可能会被诱导忽略原有的规则,去执行一些不该执行的动作。最严重的情况下,它甚至可能把用户输入的敏感信息通过联网能力直接传到外部——这就像开了个后门,数据悄无声息地就流出去了。
封锁模式的思路,不是让模型练就火眼金睛去识别所有恶意指令,而是直接掐断了最危险的一步:向外部发起网络请求。开启之后,ChatGPT的实时网页浏览会被限制,只能访问缓存内容;搜索结果可能不完整、不可用或者已经过时。它也不会在普通回复中去检索和展示来自网络的图片,不过用户自己上传图片文件是没问题的,图片生成功能也不受影响。
与此同时,深度研究(Deep Research)和智能体模式(Agent Mode)会直接被关闭;ChatGPT无法从网络下载文件来做数据分析,只能处理用户手动上传的文件;Canvas生成的代码也不被允许联网访问。
对多数用户影响有限,对企业则是取舍开关
对大多数普通用户来说,这个封锁模式大概率不会长期开着。毕竟很多人用ChatGPT,就是冲着联网搜索、整理资料、做深度研究或者调用外部工具这些能力来的。一旦开启封锁模式,这些功能都大打折扣,获取的信息也可能更旧、更不及时。
但对于企业、公共服务机构、法律和合规团队来说,这个开关的意义就完全不同了。当对话里可能涉及客户隐私、合同条款、内部数据或者未公开材料时,管理者就必须权衡:牺牲一部分联网能力,去换取一个更低的数据外泄风险——这笔账,在特定场景下是划算的。
OpenAI也特别说明了一点:封锁模式不会改变对话记忆、文件上传、分享对话这些功能,也不会影响对话是否被用于改进模型。相关设置依旧需要通过数据控制或企业管理员权限单独管理。换句话说,它不是一个“总隐私开关”,它的作用范围很专一——只负责减少因为提示注入导致的数据外传风险。
这不是万能安全锁
OpenAI在帮助文档里也毫不避讳地承认:封锁模式并不能保证提示注入攻击完全失效。恶意指令仍然有可能藏在缓存的网页内容里,也可能藏在用户上传的文件中,进而影响ChatGPT的回答行为或准确性。
这其实反映了AI产品正在面对一个更现实的问题:模型越能联网、越能调用工具、越能代表用户执行任务,它的攻击面就越大。智能体模式强调让AI主动访问网页、操作外部服务、完成多步骤任务,而这些能力恰恰是提示注入攻击最容易利用的入口。
封锁模式,本质上就是为这类能力设下的一道可见边界。它没有承诺让ChatGPT变得绝对安全,而是把“更强的能力”和“更低的外泄风险”之间的取舍权,交还给了用户和管理员。说到底,搞安全的都知道,没有银弹,只有选择。
