OpenAI 推出 Lockdown Mode：降低提示注入风险，但不是安全万能键

OpenAI 这次给 ChatGPT 加的 Lockdown Mode，名字很硬，做法却很朴素：少联网，少读外部网页，少替用户跑复杂任务。

这件事有意思的地方也在这里。过去 AI 助手的卖点是能接入更多工具、处理更多内容、替用户多走几步。Lockdown Mode 反过来，把一部分能力关掉，换取更低的数据外泄风险。

我更在意的不是这个模式有多“安全”，而是 OpenAI 公开承认了一个现实：提示注入很难靠一个开关彻底解决。它能做的是降风险，不是清零。

Lockdown Mode 关掉了什么：少碰外部输入，少开代理权限

根据 OpenAI 的说明，Lockdown Mode 面向处理敏感数据、担心数据外泄的个人和组织。它正在向自助 ChatGPT Business 账户，以及符合条件的个人账户推出。

这不是默认给所有用户打开的模式，也不是普通聊天体验的增强版。它更像一个受限工作区。

这张表里的核心不是“少了哪些功能”，而是“少了哪些入口”。

提示注入常出现在网页、文档、邮件、上传文件这类外部内容里。攻击者把恶意指令伪装成普通文本，诱导模型忽略原有规则，改变回答，甚至把不该输出的信息带出来。

传统软件的边界通常在代码、权限和接口里。语言模型的麻烦在于，它把自然语言也当作输入。资料、命令、诱导，可能写在同一段文字里。

所以 Lockdown Mode 的路线很清楚：不试图证明模型永远不会被诱导，而是减少模型接触不可信内容和高权限动作的机会。少即是多，在安全场景里并不奇怪。

为什么它不是提示注入的解药：风险还在，只是入口变少

OpenAI 明确说，即便开启 Lockdown Mode，ChatGPT 仍可能受到提示注入影响。

这句话很关键。它把 Lockdown Mode 的性质说死了：这是风险缓解机制，不是漏洞终结方案。

原因也不难理解。关闭实时网页浏览，不等于模型不再读取外部内容。OpenAI 提到，提示注入仍可能出现在缓存网页内容或上传文件里，并影响回答行为或准确性。

对企业来说，真正敏感的内容往往不是公开网页，而是用户自己放进去的东西：合同、财务表格、客户名单、源代码片段、内部政策文档。只要 ChatGPT 需要读取这些材料，就还要面对一个问题：哪部分是资料，哪部分可能在试图操纵模型。

这也是很多企业 AI 工具绕不开的现实。微软 Copilot、Google Gemini、Anthropic Claude 这类产品，只要接入浏览器、企业文档、邮件、工作流，就会遇到相近的边界问题。模型越像助手，权限越像员工；权限越多，治理成本越高。

差别在于产品怎么处理取舍。Lockdown Mode 选择把能力往回收，而不是继续把所有任务都放在一个高权限助手里跑。

我不太买账的是把它包装成“彻底防护”。目前公开信息支撑不了这个判断。更稳妥的理解是：它把风险面缩小了一圈，但没有把风险本身拿掉。

谁该开启：安全团队看边界，敏感用户看成本

OpenAI 称，Lockdown Mode 并不适合所有人。这个限定很实在。

最应该认真评估的，是两类人。

对采购和安全团队来说，接下来不该只问“有没有 Lockdown Mode”。更该问几个部署问题。

管理员能不能统一开启？用户能不能自行关闭？有没有审计记录？不同账户层级的可用范围怎么划？禁用 deep research 和 agent mode 后，会不会影响现有团队流程？

这些细节，OpenAI 目前公开信息还不够完整。看不清的地方，就不该替它补答案。

更稳的做法是延后把敏感工作流全部迁进去。可以先选低范围团队试用，把合同归纳、内部资料整理、合规问答这类任务拆出来。能接受功能损失的，就放进 Lockdown Mode；强依赖实时网页和代理执行的，继续走普通模式或其他受控流程。

普通个人用户也一样。若只是查资料、写邮件、做日常问答，开启后可能只会觉得功能少了。若经常上传税务材料、病历摘要、合同文本、公司内部资料，牺牲一点便利就有意义。

这件事最后落回一个老问题：AI 助手到底该像搜索框，还是该像有权限的员工。

如果只是搜索框，错了还能改。如果它能读文件、看网页、调用工具、代你执行任务，安全设计就不能只靠“模型会听话”。权限分层、数据分级、日志审计和使用规范，都得跟上。

Lockdown Mode 的价值正在这里。它没有把提示注入治好，但提醒用户别把所有任务都交给同一个高权限入口。对敏感数据来说，少做一点，有时比多做一步更安全。