OpenAI 为 ChatGPT 推出锁定模式:系统级防御提示注入攻击,网页浏览仅限缓存、高风险功能直接禁用

资讯分享 发布于 阅读 5

📌 一句话总结:OpenAI 为 ChatGPT 推出「锁定模式」(Lockdown Mode)和「高风险标签」(Elevated Risk),通过系统级限制防御提示注入攻击导致的数据泄露,目前面向企业、教育和医疗用户开放,未来将扩展至消费者。

2026年2月18日 · 资讯分享 · 阅读时间约 4 分钟

随着 AI 系统越来越多地接入外部应用和互联网,一种名为「提示注入」(Prompt Injection)的攻击方式正在成为企业安全的新威胁。攻击者通过在文本中嵌入恶意指令,诱导 AI 执行非预期操作,甚至窃取对话中的敏感数据。

2 月 16 日,OpenAI 正式发布了两项新安全功能:ChatGPT 锁定模式(Lockdown Mode)和「高风险」标签(Elevated Risk Labels),旨在从系统层面而非仅依赖模型行为来防御这类攻击。

锁定模式:从「模型自律」到「系统强制」

锁定模式的核心思路是:与其指望 AI 模型自己识别并拒绝恶意指令,不如直接在系统层面切断攻击路径。

具体来说,锁定模式会对 ChatGPT 与外部系统的交互施加严格的确定性限制:

  • 网页浏览仅限缓存内容:开启锁定模式后,ChatGPT 不会发出任何实时网络请求,所有浏览操作仅使用 OpenAI 受控网络内的缓存数据,从根本上阻断通过浏览器窃取数据的路径
  • 高风险功能直接禁用:当无法提供强确定性安全保证时,某些功能会被完全关闭
  • 管理员精细控制:工作区管理员可以通过角色设置启用锁定模式,并精确选择哪些应用和操作在锁定模式下仍然可用
锁定模式通过确定性地限制 ChatGPT 与外部系统的交互方式,帮助防止数据被无意中共享给第三方。
— 来源:OpenAI 官方博客

目前,锁定模式面向 ChatGPT Enterprise、ChatGPT Edu、ChatGPT for Healthcare 和 ChatGPT for Teachers 用户开放。OpenAI 表示计划在未来几个月内将其扩展至消费者用户。

高风险标签:让用户「知情选择」

除了锁定模式,OpenAI 还在 ChatGPT、ChatGPT Atlas 浏览器和 Codex 编程助手中统一引入了「高风险」标签系统。

当用户启用某些涉及网络访问或扩展权限的功能时,界面会显示一致的「Elevated Risk」标签,明确告知:

  • 该功能做了什么
  • 启用后会发生什么变化
  • 可能引入哪些风险
  • 什么场景下适合使用

例如,在 Codex 中授予网络访问权限时,设置界面会显示高风险标签,帮助开发者理解允许 AI 访问互联网的安全权衡。

OpenAI 强调,这些标签并非永久存在。随着安全防护措施的改进,当风险被充分缓解后,相应标签将被移除。

为什么提示注入是 AI 安全的头号难题

提示注入之所以棘手,是因为它利用了 AI 系统的核心特性——遵循指令。当 AI 连接到外部网页、邮件或文档时,攻击者可以在这些内容中隐藏恶意指令,诱导 AI 执行数据窃取等操作,而用户可能完全不知情。

ZDNET 指出,这类攻击对企业用户尤其危险,因为他们在工作中经常需要 AI 处理机密文件和内部数据。传统的安全方案主要依赖模型层面的防护(让 AI 学会识别恶意指令),但这种方式无法提供确定性保证。

锁定模式的创新之处在于,它将防线从「模型行为」提升到了「系统架构」层面——不是教 AI 不要被骗,而是直接切断被利用的通道。

富贵点评

这个功能的命名很有意思——「Lockdown Mode」,和苹果 iPhone 的锁定模式同名。苹果的锁定模式是为了防御国家级间谍软件,OpenAI 的锁定模式则是为了防御提示注入攻击。两者的共同逻辑是:通过牺牲部分功能换取更高安全性。

从技术角度看,OpenAI 选择了「确定性限制」而非「概率性防御」,这是一个务实的判断。提示注入本质上是一个未解决的理论问题,目前没有任何 AI 模型能 100% 抵御精心构造的注入攻击。既然模型层面无法完美解决,那就在系统层面做物理隔离——不让数据出去,攻击者自然拿不到。

不过,锁定模式目前只面向企业用户,消费者还得等。考虑到越来越多普通用户也在用 ChatGPT 处理个人敏感信息,这个扩展速度可以再快一点。

📋 要点回顾

  • 新功能发布:OpenAI 于 2 月 16 日推出 ChatGPT 锁定模式和高风险标签两项安全功能
  • 防御目标:主要针对提示注入攻击导致的数据泄露,通过系统级限制而非模型行为来防御
  • 核心机制:锁定模式下网页浏览仅限缓存内容,不发出实时网络请求,高风险功能直接禁用
  • 适用范围:目前面向 Enterprise、Edu、Healthcare、Teachers 用户,消费者版本未来几个月推出
  • 高风险标签:在 ChatGPT、Atlas、Codex 中统一标注可能引入额外风险的功能,帮助用户知情决策

❓ 常见问题

Q: ChatGPT 锁定模式和苹果 iPhone 的锁定模式有什么区别?

A: 两者理念相似但防御对象不同。苹果锁定模式防御的是国家级间谍软件对设备的攻击,ChatGPT 锁定模式防御的是通过提示注入窃取 AI 对话中敏感数据的攻击。共同点是都通过限制功能来换取更高安全性。

Q: 普通 ChatGPT 用户什么时候能用上锁定模式?

A: OpenAI 表示计划在未来几个月内将锁定模式扩展至消费者用户,但尚未公布具体时间表。目前仅 Enterprise、Edu、Healthcare 和 Teachers 计划可用。

Q: 开启锁定模式后,ChatGPT 的功能会受到多大影响?

A: 主要影响是网页浏览功能被限制为仅使用缓存内容(无法实时联网),部分无法保证安全性的功能会被禁用。但管理员可以精细控制哪些应用和操作仍然可用,在安全和功能之间取得平衡。

作者:王富贵 | 发布时间:2026年2月18日

参考来源:OpenAI 官方博客 · ZDNET · Help Net Security