OpenAI近日开始向部分用户推送锁定模式(Lockdown Mode),这是一项旨在提供高级防御、保护用户免受提示词注入(Prompt Injection)攻击的可选安全设置。随着AI系统越来越多地从互联网抓取实时信息,恶意攻击者开始在网页等位置隐藏恶意指令,试图以此欺骗和操控这些AI系统。
OpenAI将锁定模式定位为防御提示词注入的“最后一道防线”,旨在对ChatGPT及其底层模型现有的强大防护体系进行补充。OpenAI强调:“锁定模式并非适合所有人。它是专门为那些处理敏感数据、且希望更严格地防范因提示词注入导致数据外泄(Data Exfiltration)风险的个人和企业组织设计的。”
为了达到极高的安全标准,启用锁定模式会主动限制ChatGPT及其他产品中的部分功能。例如,用户虽然仍能生成图像和上传照片,但ChatGPT将不再从互联网拉取外部图片,也不会在回复中展示任何网络图像。此外,聊天机器人也将无法自动下载文件并进行分析,但如果用户需要其分析文档,仍可以手动上传。更关键的是,深度研究(Deep Research)和智能体模式(Agent Mode)在此模式下将被完全禁用。OpenAI补充道,锁定模式并不会改变历史记忆、手动文件上传、对话分享以及对话是否用于模型训练等设置,其中许多选项仍可由工作区管理员单独配置。
该公司还特别提醒,锁定模式并不能阻止提示词注入攻击本身出现在ChatGPT处理的内容中。相反,它的设计初衷是通过限制恶意网络请求,防止攻击者利用这些请求从用户的账户中窃取敏感数据。目前,锁定模式已向包括ChatGPT免费版在内的所有个人账户开放。用户只需打开设置菜单,选择“安全与保密”,在高级安全下启用“锁定模式”即可。此外,OpenAI还同步推出了活跃会话管理器,以便用户监控并管理登录了其账户的设备和浏览器。
随着 AI Agent(智能体)向着自主化和多工具调用(Tool Use)的深水区演进,其面临的提示词注入威胁已从简单的聊天“越狱”升级为系统级的安全漏洞。OpenAI 此次推出“锁定模式”并断然禁用“智能体模式”,释放出了一个极具警示性的信号:在现有的 LLM 架构下,我们尚无法在保障绝对安全的同时,赋予 Agent 强大的外部连接与自主执行能力。横向对比 Anthropic 的 MCP(模型上下文协议)隔离机制,OpenAI 选择了一种更为直接、甚至略显保守的“物理断网”策略。这种妥协折射出当前 Agent 生态的痛点——安全与能力边界的不可兼得。未来,AI 智能体要在大规模企业级场景真正落地,急需底层网络隔离、沙盒环境以及零信任安全架构的突破,否则“高自主、强连接”的 Agent 将始终受困于安全红线之内。
