今天早上整理线索的时候,OpenAI悄悄上线了一个新功能——Lockdown Mode。
TechCrunch的标题写的是“保护敏感数据免受提示注入攻击”,但打开官方的帮助文档,第一句就把我打住了:
“Lockdown Mode不会阻止注入行为在对话中出现,它只设计用于防止数据外泄的最后阶段。”
这句话很诚实。它没有说能防注入,而是说:注入我拦不住,但我能让你被偷走的数据传不出去。
它是怎么做到的
开启Lockdown Mode后,ChatGPT会做几件非常粗暴的事:
- 切断实时网页浏览,只允许查看缓存内容
- 禁止图像显示(但可以上传分析)
- 关掉深度研究
- 关掉Agent模式
- Canvas里运行的代码不能访问网络
- 数据分析功能生成的下载链接被屏蔽 本质上是把ChatGPT的出站网络请求一刀切。
Simon Willison分析得挺对——这很可能是一个确定性机制,直接在系统层把网络断了,而不是让AI模型自己判断该不该发出去。
依赖模型判断太不可靠了,攻击者总有办法骗过它。物理断网,骗不了。
那它到底能防什么
打个比方。
你是一家小公司的技术负责人,在用ChatGPT处理内部故障报告,报告里包含了服务器IP、部分代码、用户邮箱。
如果没有Lockdown Mode,一个精心设计的注入攻击可能让模型把这段内容摘要后,通过联网功能发送到攻击者的服务器。
开了Lockdown Mode,模型仍然可能在回复里复述你的敏感数据(因为注入还在),但它没法主动往外传了。只要你足够小心,不把回复粘贴到别处,数据至少不会直接泄露。
所以它防的是“自动外泄”,不防“愚弄用户手动泄露”。
代价是什么
我试了一下,进入设置页面,Lockdown Mode在“安全”那一栏。
开启后立即弹窗提示:深度研究、实时搜索、Agent功能将不可用。
我日常用ChatGPT最多的是:搜最新技术文档、让Canvas跑个小脚本、有时让它联网对比几个工具价格。开启后这些都废了。
对于一个用ChatGPT做主力生产力工具的IT人,这个功能损失相当大。
OpenAI也直接说了:“这不是为每个人设计的。”
它是给那些经常处理敏感数据、宁肯牺牲效率也要保安全的人用的。
哪些兄弟该开
我自己可能会在工作机上开,个人机上不开。
- 处理银行接口、用户隐私、商业合同的小公司技术负责人:如果你用ChatGPT辅助分析代码或客户数据,这个模式值得长期开着。丢失的功能可以用其他工具补(比如用Perplexity专门做搜索)。
- 副业探索者:如果你在搭SaaS、处理客户的支付信息、订单数据,建议在处理敏感信息时开着,平常可以关。
- 普通程序员:如果你只是用来查Stack Overflow、写点不涉密的代码,开了反而降低效率,不必开。
- 刚毕业的IT新人:一般碰不到极度敏感数据,可以不开,但得知道有这个功能存在——万一以后公司合规要求,你得会操作。
还有几个坑没填
Lockdown Mode现在还是一个新鲜东西,没有第三方安全公司做过穿透测试。
它声称能防止“基于URL的外泄”,但具体机制没公开,是不是真的能把所有外泄路径堵死?不知道。
另外,对于企业托管工作区,管理员需要手动配置哪些应用和连接器可以不受Lockdown限制。如果配置错了,反而留了后门。
还有一点,注入攻击本身没解决。模型仍然可能输出恶意代码、诱导你点击外链。如果你开启了Lockdown Mode,产生了虚假的安全感,放松了对模型输出的审查,反而更危险。
一个小实验
如果你不确定这个模式适不适合你,可以花半小时做个简单测试:
- 登录ChatGPT网页端,进入设置,开启Lockdown Mode。
- 试试用你平时最依赖的三个功能:比如联网搜一个问题、上传图片让它分析、让Canvas跑段代码。
- 看看系统给什么提示,哪些功能被禁了。 这个实验零成本,不需要写代码,就是点点鼠标。
如果发现大部分日常功能都不能用,就先别开。如果只是少了一两个可有可无的功能,而你又常处理敏感内容,可以考虑长期开着。
最后说两句
OpenAI推出这个独立的安全模式,本身就是一个信号——他们默认状态下的ChatGPT,防数据外泄的能力并不够强。
否则没必要再弄个“Lockdown”出来,直接集成到默认设置里不好吗?
这对咱们普通IT人来说,是一个提醒:不要以为用ChatGPT处理工作数据肯定安全。尤其当你把它接入内部系统、或者粘贴包含密钥的日志时。
Lockdown Mode不是万能药,但它至少给了一条“功能换安全”的选择。至于换不换,得自己判断。
以上。
如果这篇文章让你对ChatGPT的安全边界多了一层认识,点个赞或转给同样在和技术打交道的朋友。
我们下次再聊。
老花 / Easton Hua