你让 ChatGPT 替你读一个网页,结果它把你聊天记录里的敏感信息,悄悄发给了网页背后那个人。
这不是科幻,是 prompt injection(提示注入)干的活——也是这两年 AI agent 最难堵的一个洞。OpenAI 6 月 6 日给 ChatGPT 上了个新开关,叫 Lockdown Mode(闭关模式),思路简单粗暴:既然防不住 AI 被骗,那就把它往外递东西的那条线掐了。
这个洞到底怎么被人钻的
先说清楚 prompt injection 是什么。
你打开一个网页、传一份文档,里面藏着一段对 ChatGPT 说的话——不是给你看的,字小到看不见,或者干脆写在 HTML 注释里。ChatGPT 读到了,就当成你下的命令照做。
攻击分两步:第一步,骗 AI 听它的;第二步,让 AI 把你的数据发出去。
OpenAI 这次没打算解决第一步——它自己都承认,开了闭关模式,ChatGPT 照样可能被注入影响。它盯的是第二步:把数据往外送的那个出口。
“Lockdown Mode 是为最后一步设计的——掐断提示注入攻击里那个把敏感数据传给攻击者的环节。”
讲人话就是:AI 可能还是会被骗,但骗到了也送不出去。
关了哪些功能
闭关模式一开,下面这些全停:
- 实时联网:只能读缓存好的内容,不能现上网
- 从网上抓图、显示图(你自己生成图还行)
- 深度研究和 Agent 模式
- Canvas 里要联网跑的代码
- 下载文件做分析
- 实时连接器,还有连接器往外写数据的动作
- 连 ChatGPT 里管钱的功能 和 替你购物 那套,也一起关
你数一下就明白了——这些全是能”往外发请求”的功能。出口堵死,偷出去的数据就没地方送。
这开关不是给所有人用的
OpenAI 把话说得很直白:
“闭关模式不是给所有人准备的。它是给那些手里有敏感数据、想要更强防护的人和机构。”
谁会用?高管、安全团队、手里捏着客户隐私的公司。普通人开了它,等于自废一半武功——连网都上不了,AI 助手剩不下多少。
开关藏在 设置 → 安全 → 高级安全 → Lockdown Mode 里。企业版还得管理员手动配权限,给每个 app 标上风险等级:不信任的 app 能读能写算高危,信任的 app 同步数据算中危,信任的 app 只做看得见的写入算低危。
这步棋说明了什么
AI agent 越能干,这个洞就越疼。
道理很简单:你给 AI 的权限越大——能联网、能调工具、能读你的邮件和文件——它一旦被骗,能捅的篓子就越大。能力和风险,是一根绳上的两头。
OpenAI 的解法很务实:防不住骗,就锁住害。这不是把 prompt injection 解决了,是承认短期内解决不了,先把伤害面摁住。
所以闭关模式更像一个信号——AI 公司开始正面承认,把一个能自己上网、自己干活的 agent 放出去,安全这关还远没过。能给你的,暂时只是一把”要紧时候拉下来”的闸。
参考来源:OpenAI unveils Lockdown Mode to protect sensitive data from prompt injection attacks(TechCrunch);OpenAI is locking down parts of ChatGPT to reduce data theft risks(Help Net Security);Introducing Lockdown Mode and Elevated Risk labels in ChatGPT(OpenAI)