OpenAI 上线锁定模式:它关掉了什么,以及谁该开

Lockdown Mode 面向记者、异见者等高危用户,潜台词是 OpenAI 承认默认配置对这类人不够安全。它把产品安全从模型对齐推到了用户侧的威胁建模。

securityprivacyopenai
OpenAI 上线锁定模式:它关掉了什么,以及谁该开
图 / Unsplash

概述

OpenAI 上线了一个叫锁定模式(Lockdown Mode)的高级安全开关,正在向 Free、Go、Plus、Pro 这些个人账户以及自助开通的 ChatGPT 商业账户分批铺开。它做的事很具体:把 ChatGPT 里能连到网络和外部服务的能力大面积关掉或限死,目的是堵住提示词注入攻击的最后一步:把你的敏感数据外发给攻击者。

值得停下来看的不是功能本身,而是它出现这件事。OpenAI 在文档里直说,这个模式”不是给所有人的”,而是给处理敏感数据、需要更强防外泄保护的人和机构。把这句话翻译过来:默认的 ChatGPT 配置,对记者、异见者、维权律师这类高危人群来说不够安全,需要单独加一道墙。这等于承认,AI 产品的安全边界已经从”模型说不说错话”扩展到了”用户面对什么样的对手”。这是威胁建模进了消费级 AI 产品的信号。

发生了什么

锁定模式是一个可选的高级安全设置,在 Settings > Security 的 Advanced security 里打开。所有账户类型和工作区都能用,前提是已登录。打开后,以下能连网或调外部服务的能力被关掉或限制:

实时网页浏览只能读缓存内容,搜索结果可能受限、不可用或过时;图片支持被限,ChatGPT 在常规回复里可能不显示图片、也不从网上取图,但你仍能上传图片文件,图像生成也照常可用;深度研究(Deep research)被禁用;代理模式(Agent mode)被禁用;Canvas 里不能批准生成的代码联网;ChatGPT 不能为数据分析下载文件,但仍能操作你手动上传的文件。

它不动的东西同样关键:记忆、文件上传、分享对话的能力、以及你的对话是否被用于改进模型,锁定模式都不改,后面这些很多是工作区管理员单独配的。它也不影响 Codex 的网络访问。

针对应用和连接器,逻辑随账户类型变。个人账户和自助商业账户下,锁定模式允许使用已同步数据的连接器,但拦截连接器的实时访问和写操作;ChatGPT 里的 Finances、购物代理这类体验在锁定模式下不可用。受管工作区下,应用、MCP、连接器由工作区设置和基于角色的访问控制(RBAC)管,锁定模式不会自动禁用每个应用,管理员要自己只放行成员需要的可信应用和动作。文档还给了风险分级:不可信应用的读写、可信但影响面不明的写操作算高风险不建议开;同步连接器、可信应用的读操作算中风险可谨慎用,因为它们不产生外发请求或写副作用,但仍可能是被外泄的敏感数据源头。

为何重要

锁定模式的设计目标被写得很克制:它只防提示词注入的最后一环。文档原话是,它”不阻止提示词注入出现在 ChatGPT 处理的内容里”:注入可以藏在缓存网页或上传文件里,照样影响回复的行为和准确性。它做的只是限制外发的网络请求,让被注入劫持的模型没法把你的数据传出去。这是一个诚实的边界声明,也透露了 OpenAI 对这个问题的真实判断:提示词注入是前沿且棘手的研究问题,模型层面短期内防不住,所以退而求其次,在出口处加一道闸。

这把”AI 安全”的含义往用户侧推了一大步。过去谈 AI 安全,重心在模型对齐:模型会不会输出有害内容、会不会被越狱。锁定模式谈的是另一件事:当攻击者主动往你喂给模型的内容里塞恶意指令,模型可能反过来成为泄密通道。这是经典的威胁建模,只不过对象从企业网络换成了一个会自己上网、调工具、读你文件的助手。承认”默认配置对高危人群不够安全”,意味着 OpenAI 把一部分安全责任显式交还给了用户:你得先判断自己是不是高危对象,再决定要不要付出关掉浏览、深研、代理这些功能的代价。

但要注意,文档同时给出一个看似矛盾的判断:提示词注入”目前不是主要风险,但随着攻击者手法变复杂,影响可能扩大”。把两件事放一起读,锁定模式更像一个前置投放的防御工事,而不是对当下迫切威胁的应急响应。OpenAI 在风险尚未爆发时就把控制权和威胁建模的框架交给用户,这本身是个值得记下的产品姿态。

对建设者的影响

如果你在 ChatGPT 之上搭东西、或为高危用户做交付,这里有几个直接的调整点。

第一,别把锁定模式当隐私或合规开关卖给用户。它和数据控制是两套东西:训练用途、记忆、分享,锁定模式一概不管。文档把这点反复强调,正是因为这是最容易误用的地方。真要管数据用途,得去数据控制里单独设;受管工作区还另有 Compliance API 日志平台做应用使用、共享数据、连接源的可见性,锁定模式不改变它记录什么。

第二,如果你的产品依赖 ChatGPT 的浏览、深度研究、代理模式或连接器写操作,要预设一部分用户处于锁定模式、这些能力直接不可用。给出降级路径,而不是让功能静默失败。尤其是连接器:个人账户下实时访问和写操作被拦,只剩同步数据可用,你的集成得在”只读已同步数据”这个最小集上仍然有用。

第三,受管工作区的管理员要做真正的取舍。文档建议按每个应用和动作的数据外泄风险来配:不可信应用别开读写;可信应用若写操作的影响面藏不住、可能被恶意方看到,也别开。这意味着给高危成员配工作区时,默认应该是”白名单最小可信集”,而不是”全开再按需关”。

该忽略什么

别把锁定模式读成”开了就不会被提示词注入攻击”。文档把话说死了:它大幅降低注入导致数据外泄的风险,但不保证外泄不会发生——风险仍可能从已启用的应用、能力的意外组合、或新发现的手法里漏出去。更重要的是,它根本不阻止注入本身:藏在上传文件里的恶意指令照样能让 ChatGPT 答错、行为跑偏,只是数据传不出去而已。把它当成万能护盾,反而会因为”我开了锁定模式”而放松对输入内容的警惕,这是危险的。

也别把”提示词注入目前不是主要风险”这句话读成”所以不用管”。OpenAI 的完整判断是风险会随攻击手法成熟而扩大,锁定模式正是在这个判断下提前部署的。对绝大多数普通用户,今天确实不必为此关掉一半功能;但如果你或你服务的对象是记者、异见者、处理敏感线人的人,默认配置的风险是真实的,这道墙就是为你准备的。判断自己在不在这条线上,比纠结要不要开更重要。

常见问题

锁定模式会关掉模型训练吗?

不会。锁定模式不改变你的对话是否被用于改进模型,这要在数据控制里单独设。它只管联网外发这条出口,不碰数据用途。把它当隐私开关用会落空。

锁定模式和开发者模式能同时开吗?

不能,两者互斥。打开锁定模式会关掉开发者模式,之后再开开发者模式又会关掉锁定模式。文档没解释原因,但开发者模式通常放开外部调用,正好和锁定模式收紧出口的目标冲突。

锁定模式影响 Codex 吗?

不影响。文档明确写锁定模式不改变 Codex 的网络访问。换句话说编码代理的联网能力不在这套防护覆盖里,在 Codex 里跑不可信内容仍要靠它自己的沙箱和权限。

能只对某一个对话关掉锁定模式吗?

可以。开启后对话框上方有状态条,点 Manage 选只对本对话关闭,或在更多选项菜单里把 Lockdown 切到 Disabled,只影响当前这条对话。需要某次联网时这是临时出口,代价是那条对话失去防护。

来源

  1. 锁定模式(OpenAI 帮助中心) / official