AI Agent 拿着你的数据去见了谁?OpenAI 用「封锁模式」给出了一个违反直觉的答案
2026 年 6 月 6 日,OpenAI 推出 Lockdown Mode(封锁模式)。它的逻辑反常识:不是加更多防护,而是主动关掉最容易被利用的功能——实时网页浏览、Agent 模式、Deep Research 全部禁用。这是 AI Agent 时代第一个「减法安全」产品原型,背后藏着三条对产品设计者有直接参考价值的设计哲学。
リサーチノート
2026 年 6 月 6 日,OpenAI 向 ChatGPT Business 账户和个人用户推出了一个叫做 Lockdown Mode(封锁模式) 的新功能。1
这个功能的第一印象是反常识的:打开它,ChatGPT 会变得更「笨」——实时网页浏览关掉了,Deep Research 关掉了,Agent 模式关掉了,联网图片检索关掉了。你换来的,是一套针对提示词注入攻击的防护机制。
但仔细看下去,你会发现这是一次罕见的「减法安全」设计——它的创新不在于增加了什么,而在于 OpenAI 承认了 AI 的一个根本性脆弱点,并选择用「截断能力边界」而不是「堆叠防御层」来解决它。
安全漏洞卡在哪里
要理解 Lockdown Mode,先要理解它防的是什么。
提示词注入攻击(Prompt Injection)是 AI Agent 时代最棘手的安全问题之一:恶意指令被藏在网页、PDF 或用户上传的文件里,等 ChatGPT 「读」到这些内容时,藏进去的指令就混入了 AI 的「思维流」。如果攻击成功,AI 会在用户不知情的情况下执行隐藏指令,比如把对话中的敏感数据发送给第三方服务器。
2025 年 8 月,Anthropic 的 Claude Chrome 扩展在 beta 测试期间被研究人员用提示词注入攻击成功渗透,成功率 23.6%。2 同月,Perplexity 的 Comet AI 浏览器被 Brave 的研究人员用同类手法演示攻击。整个 AI 产品行业在这个问题上没有拿出过根治方案。
OpenAI 在官方文档里直接承认了这一点:「即使开启 Lockdown Mode,ChatGPT 依然可能受到提示词注入攻击——注入内容可能出现在缓存网页或上传文件中,仍然会影响模型的行为和回答准确性。」3
能攻进来,依然能攻进来。那它防的是什么?
创新一:截断出口,而不是补住入口
Lockdown Mode 的核心逻辑是:与其试图阻止恶意指令进入模型(入口),不如切断数据流出的渠道(出口)。
提示词注入攻击要造成实质损害,通常分两步:第一步,藏在内容里的恶意指令成功让模型「服从」;第二步,模型通过联网工具把数据传出去。Lockdown Mode 专门针对第二步——把所有可能成为「数据出口」的能力关掉。
| 关掉的能力 | 为什么是出口风险 |
|---|---|
| 实时网页浏览 | 外部服务可以接收到浏览请求中的数据 |
| Agent 模式 | 自主行动能力意味着 AI 可在用户不知情时主动传数据 |
| Deep Research | 涉及大量外部服务调用,增加数据泄露面 |
| Canvas 代码联网 | 生成的代码可能被用来建立出站连接 |
| 文件下载 | 外部文件请求可能携带本地数据 |
| 联网图片检索 | 图片请求 URL 可能嵌入数据参数 |
这套逻辑和很多企业安全方案完全相反。传统做法是:识别攻击 → 打补丁 → 建立更厚的防护墙。OpenAI 的做法是:把最容易被利用的功能直接关掉,让攻击「无处可去」。
这是一种务实的承认:AI 的注入问题短期内无解,但数据流出可以被架构层的设计控制住。 安全研究人员 GoCocoaAI 在 Twitter 上的分析说得直接:「Lockdown Mode 解决的是后果(通过工具外泄数据),而不是原因(模型对注入指令的轻信)。攻击路径变窄了,但没有关闭。」4
コンテンツカードを読み込んでいます…
创新二:主动声明「这不是给所有人的」
功能发布后,OpenAI 在官方帮助文档里写了这样一句话,非常少见:「Lockdown Mode is not intended for everyone.」
这句话本身就是一个产品设计决策。
大多数安全功能的发布策略是尽量把目标用户写宽,让更多人感到这和自己有关,提升开通率。OpenAI 反其道而行之:明确说明这个功能「专门为处理敏感数据、需要更严格数据泄露保护的个人和组织」设计。面向的是企业高管、安全团队、处理法律/医疗/财务数据的机构用户。
这种设计决策有实际代价——它意味着放弃了让普通用户「捎带」开启的可能性。但它也意味着:使用这个功能的人,大概率是真正需要它的人;不需要它的人,不会被一个削减功能的模式白白困扰。
更值得注意的是,Lockdown Mode 是默认关闭的——需要用户主动进入「设置 → 安全 → 高级安全设置」才能开启。企业版需要管理员手动创建角色并分配权限。这个设计直接避免了「安全模式影响大众用户体验」的经典矛盾。代价是:没有被主动告知的用户可能根本不知道这个功能存在。
创新三:互斥身份设计
Lockdown Mode 的第三个有趣设计细节,藏在文档的一个小注里:Lockdown Mode 和 Developer Mode 不能同时启用,开启其中一个会自动关闭另一个。
这是一个「两种身份不能共存」的设计范式。
Developer Mode 的逻辑是「给我更多能力,让我探索边界」;Lockdown Mode 的逻辑是「给我更少出口,保护我的数据」。这两种需求在 ChatGPT 企业用户群里同时存在——开发者要灵活,安全团队要锁定。OpenAI 的选择不是找一个折中配置,而是彻底分离:你现在处于哪种状态,必须明确选择一个。
这种设计在 macOS 上有个类似的参照物——Apple 的「锁定模式」(Lockdown Mode,2022 年引入),它同样是为极高风险用户(记者、异见人士)设计,同样大幅削减系统能力,同样默认关闭,同样被明确描述为「不适合大多数用户」。两个「锁定模式」的设计哲学几乎一致:为了特定安全目标,拒绝折中。
在用户研究和产品设计里,「为极端用户设计,让普通用户受益」是一条经典原则。OpenAI 的这次设计更激进——它反过来说:为极端安全需求设计,但不试图让普通用户受益,甚至主动告诉普通用户「这不是给你的」。
对产品设计者的三条参考信号
减法安全比加法安全更难做,但往往更有效。 加保护层是直觉反应,切断功能需要对产品有准确的攻击面分析,并且有勇气放弃某些能力。这种「关闭而非补强」的思路在 AI Agent 产品进入企业场景时,可能会成为一种设计范式。
「这不是给所有人的」是一种产品诚实,也是一种定位策略。 对于功能强度和安全约束存在根本矛盾的场景,与其设计一个「兼顾所有人」的妥协方案,不如为特定用户群做一个纯粹的解法,并清楚地告知其他用户「你不需要它」。
互斥状态设计迫使用户做出明确选择。 很多产品喜欢把不同诉求「和稀泥」合并成一个状态,结果是谁的需求都没被满足。互斥身份的设计强迫用户在「灵活」和「安全」之间站队,减少了模糊地带,也让每种状态的体验更纯粹。
このコンテンツについて、さらに観点や背景を補足しましょう。