OpenAI 锁定模式:切断提示注入的数据外泄通道
2026 年 6 月 6 日,OpenAI 将锁定模式扩展到个人版与自助 Business 版 ChatGPT 账户:一项确定性设置,关闭被用于通过提示注入外泄数据的出站通道。
这是什么?
OpenAI 于 2026 年 2 月 13 日首次推出锁定模式(Lockdown Mode)与”Elevated Risk(高风险)“标签,最初面向 ChatGPT Enterprise、Edu、Healthcare 与 Teachers。2026 年 6 月 6 日,该公司开始将锁定模式推送到符合条件的个人账户(Free、Go、Plus、Pro)以及自助 ChatGPT Business 套餐,The Hacker News 与 TechCrunch 当天均作了报道。这是一项防御性的产品控制,而非漏洞披露。
锁定模式针对的是一个具体的失效场景:被用于数据外泄的提示注入。它并不试图阻止注入本身发生,而是移除成功注入后可能把数据送往攻击者的通道。OpenAI 明确表示,该模式”并非面向所有人”——它面向高管、安全团队以及处理敏感数据的组织,这些用户愿意以牺牲部分功能为代价换取更小的攻击面。
工作原理
当三个条件同时具备时,提示注入才会变得危险——这一框架被称为 lethal trifecta(致命三要素):模型可访问私有数据、可被不可信内容触达、并拥有把数据外送的出站通道。锁定模式攻击的是第三个要素。
OpenAI 将该控制描述为确定性的:它不是让模型去判断某个操作是否安全,而是直接硬性禁用那些可能将数据带出 OpenAI 受控网络的能力。根据 OpenAI 的公告及 6 月的报道,开启锁定模式时会禁用:
# 锁定模式下被确定性禁用的能力
# 来源:OpenAI 公告 + The Hacker News / TechCrunch (2026-06-06)
实时网页浏览 -> 仅限缓存内容,无出站请求
网络图片 -> 不从网络获取/显示图片
deep research -> 禁用
代理模式 -> 禁用
Canvas 联网 -> Canvas 生成的代码无法访问网络
文件下载 -> 阻止(不为数据分析下载文件)最关键的例子是浏览:在锁定模式下,网络访问被限制为缓存内容,因此没有实时网络请求离开 OpenAI 的网络——从而封堵了一条经典的基于 URL 的外泄路径,即注入指令让模型去请求 attacker.example/?leak=<secret>。值得注意的是,锁定模式不会改变记忆、文件上传或会话分享的工作方式,并且无法与 Developer Mode 同时运行——启用其一即会禁用另一。
配套的 Elevated Risk 标签在 ChatGPT、ChatGPT Atlas 与 Codex 中统一了对扩大攻击面的能力的警示——例如,授予 Codex 网络访问权限以查阅文档。Workspace 管理员仍保留按应用、按操作的细粒度控制,以及用于监督的 Compliance API 日志。
为什么重要
这是一家前沿厂商在表述该问题方式上的一次显著转变。OpenAI 在产品层面承认,提示注入是一个尚未解决的”前沿”问题,而近期切实可行的防御是约束能力,而非完善模型的判断。对从业者而言,架构本身就是启示:切断外泄通道,往往比试图让模型对其终将遇到的恶意指令免疫更廉价、更可靠。
局限同样重要。OpenAI 直言锁定模式**“并不保证数据外泄绝不会发生”。注入仍可能通过缓存的网页内容或上传的文件发生,并继续破坏回答的行为或准确性**;通过已启用的应用、意料之外的能力组合,或新发现的技术,残余风险依然存在。一个禁用代理功能与下载的模式也是一项实实在在的生产力成本——这正是 OpenAI 将其限定于高风险用户、而非默认开启的原因。
防御建议
应把锁定模式视为一个范本,而非万灵药。
首先梳理你自己的外泄通道。任何能够浏览、渲染远程图片、调用工具或下载文件的代理都拥有出站路径;像 OpenAI 那样把它们清点出来,再思考在敏感会话中哪些可以禁用。
对高风险流程,优先选择确定性的能力门控,而非基于模型判断的护栏。一个硬性阻断实时网络出站的开关是可审计的;一个”通常”会拒绝的分类器则不是。两者都用,但不要让概率性过滤器成为私有数据与互联网之间的唯一屏障。
收紧范围并标示残余风险。把最宽松的能力(代理模式、联网代码、不可信连接器)留给数据不敏感的场景,并在决策当下让用户看见风险——这正是 Elevated Risk 标签应承担的角色。
最后,把它当作其中一层。锁定模式叠加在沙箱、URL 链接安全、监控以及企业 RBAC/审计日志之上。这些都无法替代对工具的最小权限原则,以及对重大操作的人工复核。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 首次发布 | OpenAI 公告 | 2026-02-13 | 锁定模式 + Elevated Risk 标签;Enterprise、Edu、Healthcare、Teachers |
| 扩大推送 | The Hacker News / TechCrunch | 2026-06-06 | 个人版(Free/Go/Plus/Pro)+ 自助 Business |
| 机制 | 确定性能力禁用 | 2026 | 浏览→仅缓存、无网络图片、无 deep research、无代理模式、无 Canvas 联网、无下载 |
| 范围 | Elevated Risk 标签 | 2026 | 在 ChatGPT、ChatGPT Atlas、Codex 中保持一致 |
| 声明的局限 | OpenAI | 2026-06 | ”并不保证外泄绝不会发生”;与 Developer Mode 互斥 |
这是一次防御性的产品发布,没有可打的补丁。可落地的启示在于架构层面:相比试图让模型拒绝每一条恶意指令,移除外泄通道更容易遏制提示注入——而你保留启用的每一项能力,都是你选择敞开的一条通道。