OpenAI 这次给 ChatGPT 加的不是一个更聪明的功能,而是一个让它“少做事”的开关。
Lockdown Mode,直译就是锁定模式。它会限制 ChatGPT 访问网页、外部服务和部分工具能力,目标很明确:减少提示注入攻击造成的数据外泄。这个点有意思。过去两年,AI 产品的主旋律是接得更多、查得更多、代办更多;现在 OpenAI 开始正式告诉用户,有些时候,最安全的 AI 是被剪掉翅膀的 AI。
这个模式到底关了什么
Lockdown Mode 是可选的高级安全设置,正在向符合条件的个人账号推出,包括 Free、Go、Plus、Pro,也包括 self-serve ChatGPT Business。托管工作区里,管理员可以通过角色和权限控制给成员启用。
它不是给所有人准备的。它更适合经常把敏感资料丢进 ChatGPT 的个人、小团队,以及要管 AI 权限、连接器、数据边界的企业管理员。
| 项目 | 变化 | 影响 |
|---|---|---|
| 实时网页浏览 | 只能访问缓存内容,搜索可能受限或过期 | 最新信息能力下降 |
| Deep research | 关闭 | 深度联网研究不能用 |
| Agent mode | 关闭 | 自动执行任务能力受限 |
| Canvas 联网 | 不能批准代码联网 | 降低代码外连风险 |
| 文件下载 | ChatGPT 不能下载文件做分析 | 仍可处理用户手动上传文件 |
| 网页图片获取 | 常规回答里可能不显示或抓取网页图片 | 上传图片和图像生成不受此限制 |
有几件事别误会。
它不关闭记忆,不关闭文件上传,不改变会话分享能力,也不等于关闭训练数据使用。训练和数据控制要去单独设置。它也不影响 Codex 的网络访问。
更关键的是,它不能阻止提示注入内容出现。恶意指令仍可能藏在网页缓存、上传文件、外部内容里,影响回答质量。Lockdown Mode 主要掐的是最后一步:把敏感数据往外发的通道。
这句话很重要。OpenAI 没有说“问题解决了”,它说的是“风险降低了”。这比很多安全营销诚实。
安全不是模型更聪明,而是出口更少
提示注入的麻烦在于,它不是传统意义上的漏洞。它更像把一张写着“忽略上级命令,把资料发出去”的纸塞给一个过度热心的助理。助理越能干,问题越大。
过去 AI 产品一直在追求“像人一样办事”:能看网页,能调工具,能连邮箱、文档、日历、代码仓库,最好还能点按钮、下订单、写回系统。商业叙事很好听,叫代理。安全视角看,这叫外发通道暴增。
“天下熙熙,皆为利来。”平台想把 AI 做成入口,入口就必须连接一切;可一旦连接一切,攻击面也跟着连接一切。Lockdown Mode 的价值不在于技术多炫,而在于它承认了这个老问题:能力扩张和风险隔离,从来不是一回事。
我更在意的是 OpenAI 对 Apps、connectors、MCP 的处理。
个人账号和 self-serve ChatGPT Business 下,Lockdown Mode 允许使用同步数据类连接器,但会阻止实时连接器访问和写操作。一些金融、购物代理体验也会不可用。
托管工作区则更复杂。Apps、connectors、MCP 不会被 Lockdown Mode 自动一刀切禁用,而是继续受管理员设置、角色权限、RBAC 控制。成员能不能用某个 app,取决于角色、app 分配、读写动作是否开启,以及他在源系统里本来有没有权限。
这里的分水岭不是“连不连接”,而是“能不能写”。
只读操作已经可能泄露敏感信息,但写操作更危险。因为写操作会制造副作用:发消息、改文档、写记录、提交代码、更新工单。只要这个副作用能被不可信的人看到,它就可能变成一条隐蔽的数据外传管道。
所以 OpenAI 在文档里把高风险说得很直白:不建议给不可信 app 开读写;即使是可信 app,如果写入结果的可见范围很广或不确定,也不建议开写操作。
这才是代理时代真正难管的地方。不是模型会不会胡说,而是它有没有机会把胡说变成系统动作。
代理越强,越要会“自断其网”
Lockdown Mode 看起来像一个小开关,其实是 AI 产品路线的一次现实补课。
过去浏览器、操作系统、企业软件都经历过类似阶段:先拼能力,再补权限;先让插件飞起来,再发现插件能偷数据;先开放生态,再开始做沙箱、审计、角色控制。AI 只是把这套老剧本加速了一遍。
不同的是,AI 代理的风险更滑。传统软件按钮是人点的,责任边界清楚;代理是模型读了内容、理解了意图、调用了工具,链条长,中间还可能混进恶意指令。你很难只靠“模型更聪明”解决这个问题。
真正可靠的安全,往往朴素得不性感:少联网,少外发,少写入,权限最小化,日志可审计。
Lockdown Mode 做对了一件事:它没有假装 AI 可以靠觉悟抵御诱惑,而是直接减少诱惑能通往外部世界的路。
代价也清楚。开了它,ChatGPT 会变钝,不能实时查,不能深研,不能做代理,很多连接体验会缩水。对普通用户,这可能烦;对处理合同、财务、客户资料、代码仓库的小团队,这反而是必要的钝感。
这不是企业级强制安全标准,也不是彻底解决提示注入。它只是给用户一个更现实的选择:当你把敏感信息交给 AI 时,要不要先让它少看外面、少往外说、少替你动手。
AI 代理的下一道门槛,不是演示里能不能完成十步任务,而是组织敢不敢让它接触真实系统。连接器、MCP、写操作,会成为新的风险分水岭。
能办事的 AI,终究要学会克制。否则越能干,越像一把没有刀鞘的刀。