OpenAI 推出「封锁模式」：禁止網路瀏覽、下載等 7 功能，防禦提示注入攻擊

OpenAI 推出「封锁模式（Lockdown Mode）」，针对处理敏感资料的企业与个人用户设计，通过主动停用即时网络浏览、Deep Research、代理模式等七项功能，换取对提示注入攻击更严格的防护。
（前情提要：微软 Copilot Cowork 爆重大漏洞：AI 代理遇提示词攻击自动泄露企业机密档案）
（背景补充：美国首例！佛州正式起诉 OpenAI、Altman，83页诉状控ChatGPT诱发暴力）

本文目录

Toggle

• 一种你可能不熟悉的攻击方式
• 封锁模式的逻辑：缩小攻击面
• 封锁模式不是孤立措施

七项功能封锁，换一层防护。OpenAI 本周宣布向 ChatGPT 商业版用户与部分个人账号开放「封锁模式（Lockdown Mode）」。为的是让处理敏感资料的组织，能在面对「提示注入攻击」时多一道屏障。

一种你可能不熟悉的攻击方式

提示注入攻击（Prompt Injection）你可能也听过，但不是很清楚到底是什么？

其实这并不复杂。简单来说就是：攻击者把恶意指令藏在一个 AI 会读取的地方，一个网页、一份 PDF、一封电子邮件，等 AI 处理那份内容时，把隐藏的指令一起执行，让 AI 做它本不应该做的事。

对一般用户而言，最糟的状况可能是 AI 被骗去输出奇怪的内容。但在企业场景里，AI 代理同时连接内部数据库、有权限读写档案、能代替人类执行任务，一次成功的提示注入，可能让攻击者从中获取机密资料，甚至操纵 AI 代为发出指令。

封锁模式的逻辑：缩小攻击面

OpenAI 的官方说明点出了封锁模式的核心设计哲学：提示注入攻击之所以有效，是因为 AI 系统会主动向外部世界取回内容，网页、图片、即时资料，而那些外部内容，正是藏匿恶意指令的主要管道。

封锁模式的策略不是试图辨别哪些外部内容有害，而是直接切断连接途径。启用后，以下七项功能将被停用：

• 即时网络浏览（改为存取快取内容）
• 从网络取得或显示图片（仍可自行生成图片）
• Deep Research 深度研究
• Agent Mode 代理模式
• Canvas 网络功能
• 即时联结器（Live Connectors）
• 文件下载

这份清单的取舍逻辑清楚：凡是需要 ChatGPT 主动从外部世界拉取内容的功能，一律关闭。保留下来的是在本机或受控环境内就能完成的能力。

OpenAI 在说明中也罕见地坦承了这个功能的边界：「即使启用封锁模式，ChatGPT 仍可能受到提示注入攻击，例如在快取网络内容或上传的档案中。」换句话说，这不是一道万能防火墙，而是一个刻意取舍的风险管理工具，目标是降低敏感资料在攻击过程中外泄的可能性，而非消灭攻击本身。

封锁模式不是孤立措施

与封锁模式同步上线的，还有「高风险标签」。这项功能会标记 ChatGPT 识别为较高风险的外部网站或档案，让用户在 AI 处理外部来源之前，先看到一个视觉警示。

两项功能放在一起看，可以读出 OpenAI 当前面对企业市场的态度：一方面提供硬性隔离选项（封锁模式），另一方面提供软性提示机制（高风险标签），让不同风险偏好的组织自行选择防护力度。

OpenAI 在公告中特别说明，封锁模式「不适合所有人」，它是为「处理敏感资料、希望对提示注入相关资料外泄风险有更严格保护的个人和组织」而设计。这句话背后的含义是：这项功能是一个专业工具，而不是让所有人都应该开启的预设保护。

但封锁模式的存在已清楚说明了一件事：AI 系统的安全边界，现在已经是企业采购决策的关键变量之一，不再只是技术团队的内部议题。