OpenAI 的 Lockdown 模式：给 LLM 的数据泄露风险装上“断网”开关

起因：一个老问题的新解法 Simon Willison 长期关注 LLM 安全，他提出的“致命三角”理论是理解提示注入风险的核心框架：只要一个系统同时能访问私有数据、处理不可信内容并有数据外传渠道，就必定存在漏洞。OpenAI 在年初预告后，终于正式上线 Lockdown 模式，让这个话题再次升温。

拆解：为什么“断网”才是关键 解决致命三角的唯一办法是砍断一条腿。Lockdown 模式选择最不影响系统实用性的那条：数据外传。它通过限制 ChatGPT 向外的网络请求，从机制上阻断攻击者窃取数据的最后一步。最关键的优势是——这个限制是确定性的，不依赖 AI 判断，因此不会被更狡猾的提示注入绕过。你可以把它想象成给 AI 的“网线”加了一把物理开关，而不是靠它自己约束自己。

趋势洞察：安全从“训练模型”到“架构设计” Lockdown 模式代表了一种重要的范式转移。过去我们总想训练模型变“乖”，但攻击者总能发现漏洞。真正的安全防线越来越移向系统架构层，用工程化的硬边界替代概率性的软约束。对于企业级应用，这种确定性保障比模型承诺可靠得多。未来，类似的设计可能会成为 LLM 产品的标配。

实用价值：如何躲开“致命三角” 如果你的团队正在开发能接触敏感数据的 LLM 应用，立刻检查是否凑齐了致命三角的三条腿。不要只靠模型的“道德水平”或提示词约束来防泄露——考虑从架构上限制外发请求、隔离运行环境，或设计严格的数据沙盒。如果你在使用 ChatGPT 处理内部数据，Lockdown 模式值得第一时间开启。

反常识：默认设置反而更脆弱 很多人以为模型越强就越安全，但 Lockdown 模式的出现其实暗示：默认的 ChatGPT 在精心设计的提示注入面前可能没那么坚不可摧。OpenAI 推出这个功能，本身就是一种承认。所以，别盲目轻信模型的“安全性声明”，架构上的硬限制才是最后的底线。

原文地址: OpenAI Help: Lockdown Mode