OpenAI 推出“封锁模式”（Lockdown Mode）：深度解读

背景

随着大语言模型（LLM）在企业和个人用户中的广泛应用，提示词注入（Prompt Injection）已成为一种严峻的安全威胁。攻击者可以通过在输入中嵌入恶意指令，诱导模型执行非预期操作，甚至导致敏感数据泄露（Data Exfiltration）。尽管 OpenAI 一直在加强多层级的安全与防护系统，包括沙盒技术、基于 URL 的数据泄露防护以及企业级的角色访问控制和审计日志，但完全防止提示词注入仍是一个前沿且具有挑战性的研究难题。

为了应对这一风险，OpenAI 正式推出了“封锁模式”（Lockdown Mode）。这是一种可选的高级安全设置，旨在通过限制产品连接网络或外部服务的能力，大幅降低数据泄露的风险。该功能并非面向所有用户，而是专门针对处理敏感数据且需要更严格保护的个人和组织设计。

核心内容

1. 功能概述与适用范围 Lockdown Mode 是一种高级安全设置，通过限制出站网络请求来减少因提示词注入攻击导致的数据泄露风险。其代价是禁用或限制部分常用功能。

• 适用账户：目前正逐步向符合条件的个人账户（包括 Free、Go、Plus 和 Pro 套餐）以及自助服务的 ChatGPT Business 账户开放。
• 可用性：所有账户类型和工作区均支持，但用户必须登录才能使用。如果设置中未显示该选项，说明该账户尚未获得资格。
• 局限性：该模式旨在防止数据泄露的最后阶段（即数据传出），但无法阻止提示词注入本身出现在 ChatGPT 处理的内容中（例如缓存的网页内容或上传的文件中仍可能包含注入指令，从而影响回复的行为或准确性）。

2. 被禁用或限制的具体功能 启用 Lockdown Mode 后，以下 OpenAI 产品功能将受到严格限制或完全禁用：

• 实时网页浏览：仅限访问缓存内容。搜索结果可能受限、不可用或过时。
• 图像支持：ChatGPT 可能不会在常规回复中显示图像，也无法从网络检索图像。用户仍可上传图像文件，图像生成功能在原本可用的情况下依然保留。
• 深度研究（Deep research）：已禁用。
• 智能体模式（Agent mode）：已禁用。
• Canvas 联网：用户无法批准 Canvas 生成的代码访问网络。
• 文件下载：ChatGPT 无法下载文件进行数据分析，但仍可处理用户手动上传的文件。

3. 不受影响的功能 Lockdown Mode 不会改变以下设置，这些设置通常由工作区管理员单独配置：

• 记忆功能（Memory）
• 文件上传
• 分享对话的能力
• 对话是否用于改进模型（数据控制可单独管理）
• 注意：Lockdown Mode 不影响 Codex 的网络访问权限。

4. 应用、连接器与 MCP 的管理 在 Lockdown Mode 下，应用和连接器的行为取决于账户类型和工作区设置：

• 个人及自助服务商业账户：允许使用同步数据（synced data）的连接器，但阻止实时连接器访问和写入操作。部分连接体验（如 ChatGPT 中的“财务”功能和购物智能体体验）将不可用。
• 托管工作区（Managed Workspaces）：应用、MCP（Model Context Protocol）和连接器由工作区设置和基于角色的访问控制（RBAC）管理。Lockdown Mode 不会自动禁用工作区中的所有应用。管理员应仅启用成员所需的受信任应用和操作。

5. 风险分级与管理建议 管理员在配置应用时应考虑数据泄露风险：

• 高风险：
  • 不建议为受信任度低的启用读取或写入操作。
  • 不建议为可见性广泛或不确定的受信任应用启用写入操作，除非能确认副作用对恶意行为者不可见。
• 中风险：
  • 同步连接器：风险较低，因为数据已同步至 OpenAI，查询不会向外部发送实时网络请求，但仍可能成为敏感数据源。
  • 受信任应用的读取操作：风险较低，因为不产生写入副作用，但仍可能成为敏感数据源。
  • 受信任应用的写入操作：风险较高，因为会产生副作用。仅在确信副作用仅对受信任人员可见时启用。

6. 如何开启与操作

• 个人/自助服务商业账户：进入“设置” > “安全性” > “高级安全性”，开启 Lockdown Mode。
  • 注意：Lockdown Mode 与开发者模式（Developer Mode）互斥，开启前者会自动关闭后者。
  • 单聊控制：可在聊天上方的状态消息中点击“管理”，选择“关闭此聊天”，或通过更多选项菜单（•••）调整。
• 托管工作区：管理员可创建自定义角色并将其指定为“Lockdown Mode”角色，然后分配给成员或组。
• 故障排除：若成员无法使用某应用，需检查角色分配、应用分配、读写操作权限以及底层数据源访问权限。ChatGPT 中的应用权限不会覆盖连接源系统的权限。

关键要点

• 安全优先，功能妥协：Lockdown Mode 通过牺牲实时浏览、深度研究、智能体模式等便利功能，换取对数据泄露风险的大幅降低。
• 非万能防护：该模式主要防止数据被传出（Exfiltration），但不能防止恶意提示词注入本身进入系统。缓存内容或上传文件中仍可能包含攻击指令。
• 互斥机制：Lockdown Mode 与 Developer Mode 不能同时使用，开启其一会自动关闭另一。
• 差异化权限管理：对于企业用户，管理员需通过 RBAC（基于角色的访问控制）精细管理应用权限，区分高风险写入操作和中低风险读取/同步操作。
• 不影响模型训练：开启 Lockdown Mode 不会改变对话数据是否用于模型训练的设置，用户需通过数据控制单独管理。
• 图像生成保留：虽然限制了从网络检索图像，但图像生成功能依然可用。
• Codex 例外：Lockdown Mode 的设置不影响 Codex 的网络访问权限。

意义与影响

OpenAI 推出 Lockdown Mode 标志着其安全策略从“被动防御”向“主动隔离”的转变。在 AI 代理（Agent）和复杂工作流日益普及的背景下，提示词注入已成为企业级应用的核心痛点。

1. 企业合规与安全基石：对于金融、医疗等处理高度敏感数据的行业，Lockdown Mode 提供了一种可配置的安全基线，帮助企业在享受 AI 便利的同时满足合规要求。
2. 明确的安全边界：通过明确列出受限功能（如禁用实时联网），OpenAI 向用户传达了清晰的安全边界，避免了黑盒操作带来的不可控风险。
3. 推动零信任架构落地：该功能鼓励组织采用更细粒度的权限管理（RBAC）和最小权限原则，特别是在应用集成和连接器管理方面，推动了 AI 应用生态的安全标准化。
4. 用户教育：通过区分“高风险”和“中风险”操作，OpenAI 也在教育管理员和开发者理解数据泄露的具体路径，促进更安全的 AI 应用开发实践。

总之，Lockdown Mode 是 OpenAI 在平衡用户体验与数据安全之间迈出的重要一步，尤其为那些对数据泄露零容忍的用户提供了必要的工具。