OpenAI 这两天悄悄上线了一个新功能,名字叫 Lockdown Mode。说白了就是给 ChatGPT 加了一把更严的锁,专门防一种叫「提示词注入」的攻击方式。
这种攻击方式说起来也不复杂。你在网页里埋一段隐藏指令,ChatGPT 一带浏览功能去读那个网页,就会中招。轻则胡言乱语,重则把用户的对话内容偷偷发到攻击者指定的地方。过去一年多,这类漏洞被安全研究者反复演示,但一直没有一个系统级的解决方案。
Lockdown 模式到底锁住了什么
开启这个模式之后,ChatGPT 会做几件事:第一,实时网页浏览直接禁用,只能用缓存内容;第二,从网上检索和显示图片的功能也关了(但你自己让 AI 生成图片还能用);第三,深度研究(Deep Research)和智能体模式(Agent Mode)一并停用。
OpenAI 自己的说法是:Lockdown 模式并不是给所有人用的。它是为那些处理敏感数据的个人和组织设计的,用来降低提示词注入导致数据外泄的风险。
不过 OpenAI 也坦承,就算开了这个模式,ChatGPT 仍然有可能被注入攻击影响——比如缓存的网页内容或者用户上传的文件里,如果藏着恶意指令,还是可能改变模型的输出。所以它防的是「实时网页浏览」这个最大攻击面,而不是宣称百分百安全。
谁需要用这个模式
目前 OpenAI 正在把这个选项推送给 ChatGPT Business 账户,以及符合条件的个人账户。换句话说,普通聊天用户大概率用不上,也不会想用——毕竟关了实时浏览和智能体功能,ChatGPT 的很多「爽点」都没了。
但对于那些在企业环境里用 ChatGPT 处理合同、代码、内部文档的团队来说,这个模式的意义不小。之前已经有不少案例显示,提示词注入可以通过「污染」网页内容来窃取对话上下文,而上下文里往往有不该泄露的信息。
这事背后其实有个更大的背景。随着 AI 智能体越来越主动地代替用户去浏览网页、调用工具、执行任务,提示词注入已经从「研究者演示用的玩具」变成了一个真实的攻击面。Google、Anthropic 也都在各自的 AI 产品里加了类似的保护措施,只是 OpenAI 这次把它做成了一个用户可以主动开启的「模式」,思路还算清晰。
Lockdown 模式现在还在逐步推送中。如果你用的是 ChatGPT Business 账户,可以在设置里找找看有没有这个选项。至于免费用户和普通 Plus 用户,OpenAI 说「符合条件的个人账户」也会覆盖到,但没说具体标准是什么。