ChatGPT Lockdown Mode 上线：它关的不是提示注入，而是数据外传口

OpenAI 的 ChatGPT Lockdown Mode 已经开始向符合条件的账户推出。

覆盖对象包括 Free、Go、Plus、Pro 个人账户，以及 self-serve ChatGPT Business 账户。这个范围不算小，尤其对拿 ChatGPT 处理合同、客户资料、内部文档的小团队来说，它不是一个“安全感按钮”，而是一个更具体的出口控制。

有意思的地方在这里：Lockdown Mode 不是为了阻止提示注入出现。

它真正要拦的是最后一步——敏感数据被带出 ChatGPT，传到攻击者那里。

Lockdown Mode 关的是出口，不是入口

OpenAI 帮助文档里的说法很直接：Lockdown Mode 旨在帮助防止提示注入攻击的最终数据外泄阶段。它通过限制可能传输敏感数据的出站网络请求来做这件事。

这句话要拆开看。

提示注入仍然可能进入 ChatGPT。比如缓存网页里藏着恶意指令，或者用户上传的文件里混入了不可信内容。模型仍可能读到它们，回答也可能被影响。

Lockdown Mode 管的是另一件事：即便模型被诱导，攻击者能不能把数据拿走。

这也是它比“提醒模型小心点”更硬的地方。

让 AI 自己判断一段内容是不是恶意指令，本身就有风险。因为提示注入攻击的目标，正是让模型误判、改判、绕过原本规则。

限制出站通道不一样。它更接近传统安全工程里的边界控制：路不通，话术再巧也少了一条腿。

对个人用户和小团队，动作也很明确。只要 ChatGPT 会接触客户信息、合同、财务表格、内部方案，就不该只靠“别乱点、别乱传”的人工纪律。处理这类材料时，把 Lockdown Mode 视为默认姿态之一，会比事后追日志更现实。

它切的是 Lethal Trifecta 的第三条腿

安全研究者 Simon Willison 提过一个框架：LLM 系统出现高风险数据外泄，通常需要三件事同时存在。

一是私有数据。二是不可信内容。三是能把数据传出去的通道。他把这组组合称为 Lethal Trifecta。

ChatGPT 这类产品很容易碰到前两项。

用户会上传内部文件、客户资料、代码片段。模型也可能读取网页、文档、缓存内容或其他外部材料。这些内容不一定可信，甚至可能被提前放入恶意指令。

真正相对容易收紧的，是第三项：外传通道。

如果为了安全直接禁用私有数据，产品价值会大幅下降。如果要求模型永远不受不可信内容影响，也不现实。当前 LLM 还做不到这种强保证。

所以 Lockdown Mode 的思路很朴素：攻击链最后要出门，就先把门收窄。

这对开发者和安全负责人也有现实意义。很多小团队没有条件自建 LLM 网关、出站代理、审计系统和细粒度工具权限。那至少可以先做三件事：

• 处理敏感文件时开启 Lockdown Mode；
• 不把高权限数据源和不可信网页内容混在同一个任务里；
• 对需要联网、调用外部工具、生成可发送内容的任务做人工复核。

它不是银弹。

但在提示注入这条攻击链上，切断外传通道通常比指望模型“看穿陷阱”更稳。兵法里讲“绝其粮道”，放到这里就是：先断其路。

默认模式暴露了安全边界

Lockdown Mode 的存在，反向说明了一件事：ChatGPT 默认设置下，对足够有准备的数据外传攻击，不能被视为稳健防护。

这不是说默认模式必然不安全。

更准确的说法是：当私有数据、不可信内容和外传路径同时存在时，默认模式不应被当成高保证安全边界。它可能适合日常便利使用，但不适合承担强隔离承诺。

这个差别很重要。

浏览器也有普通模式和更严格的隔离策略。企业终端也会在便利和管控之间取舍。LLM 的麻烦在于，它不只是展示内容，还会理解、概括、改写，并可能调用工具。很多风险不会像传统网页弹窗那样显眼。

接下来最该看的，不是它有多响亮，而是几个具体变量：

对正在采购或制定内部使用规则的团队，我会建议把决策拆开。

如果只是普通资料整理，可以继续按便利性评估。若涉及客户数据、合同、源代码、财务表格，就应把 Lockdown Mode、最小权限、数据脱敏和人工复核放在同一套流程里看。

不要把它当成“防提示注入开关”。

它更像一道外传闸门。闸门落下，不代表水里没有暗流；但至少少了一条最危险的泄洪口。