锁定模式正在逐步向符合条件的个人账户(包括 Free、Go、Plus 和 Pro)以及自助式 ChatGPT Business 账户推出。如果在设置中未看到锁定模式,说明该功能可能尚未对你的账户开放。
概览
锁定模式是一项可选的高级安全设置,用于限制 OpenAI 产品中可连接网络或外部服务的多种工具与能力。其设计目标是通过限制出站网络请求,降低因提示注入攻击导致的数据外泄风险,但可能会禁用或限制部分功能。
锁定模式并不适合所有人。其面向处理敏感数据、并希望加强防护以降低提示注入相关数据外泄风险的个人与组织。
适用地区
锁定模式适用于所有账户类型及工作空间。使用该功能需先登录账户。
锁定模式如何降低数据外泄风险
提示注入是一个前沿且具有挑战性的研究课题,我们正持续致力于强化多层安全与防护系统,以保护所有用户免受此类攻击。
锁定模式建立在现有的模型、产品和系统级防护基础之上,包括沙箱机制、基于 URL 的数据外泄防护、监控与执行控制、以及基于角色的访问控制和审计日志等企业级控制功能。
锁定模式旨在通过限制出站网络请求,阻止提示注入攻击中可能导致敏感数据泄露的最后阶段。锁定模式不会阻止提示注入出现在 ChatGPT 所处理的内容中。例如,提示注入可能出现在缓存网页内容或上传文件中,并仍可能影响模型的行为或输出准确性。
对于启用锁定模式的用户,OpenAI 产品的以下功能将被禁用:
实时网页浏览:网页浏览仅限访问缓存内容。搜索结果可能受限、不可用或存在时效滞后。
图像支持:ChatGPT 可能无法在常规回复中显示图像,也无法从网络获取图像。用户仍可上传图像文件;在原本支持的情况下,图像生成功能仍可使用。
深度研究:深度研究功能已被禁用。
智能体模式:智能体模式已被禁用。
画布联网:用户无法批准由画布生成的代码访问网络。
文件下载:ChatGPT 无法下载文件进行数据分析。ChatGPT 仍可对你手动上传的文件进行操作。
锁定模式不会影响记忆功能、文件上传、对话共享能力,也不会改变您的对话是否可用于模型改进。其中许多设置可由工作空间管理员单独配置。
锁定模式不会影响 Codex 的网络访问能力。
应用
应用与连接器在锁定模式下的行为取决于账户类型及工作空间设置。对于个人账号及自助式 ChatGPT Business 账户,锁定模式允许使用依赖已同步数据的连接器,但会阻止实时连接器访问以及连接器写入操作。部分连接体验(包括 ChatGPT 中的 Finances 功能及购物代理类体验)在锁定模式下不可用。
在托管工作空间中,应用、MCP 及连接器由工作空间设置与基于角色的访问控制(RBAC)统一管理。锁定模式不会自动禁用这些工作空间中的所有应用。工作空间管理员应仅启用使用锁定模式的成员所需的可信应用与操作。
在排查托管工作空间问题时,应同时检查成员角色与应用配置。成员可能因以下原因无法使用应用、连接器、MCP 或操作:
成员或所属组被分配至限制所需能力的锁定模式角色
该应用未分配给该成员、组或角色
所需的读或写操作未启用
该成员无权访问底层文件、代码仓库、频道、记录或源系统
ChatGPT 中的应用访问权限不会覆盖连接的源系统权限设置。有关角色分配的更多信息,请参阅 RBAC。
为使用锁定模式的成员配置应用时,管理员应评估每个应用及操作的数据外泄风险。
高风险
以下应用与操作在锁定模式下不建议使用:
不建议对不可信任的应用执行读或写操作。仅启用可信任的应用。
不建议对具有广泛或不确定可见性的可信应用执行写操作。即使是可信应用,如果无法确认其写操作的副作用不会被恶意行为者观察到,也应避免启用写入操作。
中风险能力
在锁定模式下使用以下能力时需谨慎:
同步连接器作为潜在的数据外泄接收路径风险较低,因为所访问的数据已同步至 OpenAI,查询不会向 OpenAI 外部发起实时网络请求。但它们仍可能成为敏感数据来源,供恶意行为者尝试外泄。
受信任应用的读取操作作为潜在数据外泄路径风险较低,因为其不会产生写入侧影响。但它们仍可能成为敏感数据来源,供恶意行为者尝试外泄。
对于可见性受限的受信任应用,写入操作风险高于读取操作,因为其会产生副作用。仅在确认其副作用仅对可信对象可见、不会暴露给潜在恶意行为者时,才应启用写入操作。
合规 API 日志平台独立于锁定模式,可详细展示应用使用情况、共享数据与关联来源,协助管理员实施监督。有关应用使用情况日志的详细信息,请参阅:面向企业客户的合规 API。
开启锁定模式
个人账户及自助式 ChatGPT Business 账户
适用于符合条件的个人账户及自助式 ChatGPT Business 账户:
进入“设置”
选择“安全”。
在“高级安全”下,开启“锁定模式”。
在确认弹窗中,选择“启用”。
锁定模式与开发者模式无法同时启用。启用锁定模式将自动关闭开发者模式。之后启用开发者模式将自动关闭锁定模式。
启用锁定模式后,状态提示将显示在输入框上方。如需仅在当前对话中关闭,请在该状态提示中选择“管理”,然后选择“仅对此聊天关闭”。您也可以打开“更多选项”(•••),选择“锁定”,然后选择“关闭”。如需为该聊天重新启用,请选择“锁定”,然后选择“开启”。
托管工作空间
工作空间管理员可创建自定义角色,并将其指定为“锁定模式角色”,再将成员或组分配至该角色。
常见问题解答
谁可以开启锁定模式?
符合条件的个人账户及自助式 ChatGPT Business 账户用户,可在功能可用时前往“设置 > 安全”中启用锁定模式。工作空间管理员可通过基于角色的访问控制(RBAC)为托管工作空间成员启用锁定模式。
锁定模式是否会关闭训练?
不会。锁定模式不会改变您的对话是否可用于模型改进。您可以在“数据控制”中单独管理该设置。工作空间的数据控制权限仍取决于工作空间套餐及设置。
在锁定模式下是否可以使用图像生成?
可以。锁定模式会限制常规 ChatGPT 回复及网络来源图像的使用,但不会关闭图像生成能力。
是否可以仅对单个对话关闭锁定模式?
是的。开启锁定模式后,点击输入框上方的“锁定”选项卡,然后选择“仅对此聊天关闭”。您也可以打开“更多选项”(•••),选择“锁定”,然后选择“关闭”。此设置仅对当前对话生效。
锁定模式是否影响 Codex?
不会。锁定模式不会影响 Codex 的网络访问能力。
锁定模式能防止所有提示注入攻击吗?
锁定模式旨在显著降低 ChatGPT 及受支持的 OpenAI 产品中基于提示注入的数据外泄风险,但无法保证数据外泄完全不会发生。风险仍可能存在,例如已启用的应用、未预见的功能组合或新发现的攻击技术。
锁定模式也无法防止提示注入攻击的全部影响。例如,隐藏在上传文件中的恶意指令仍可能影响 ChatGPT 的行为,并导致错误输出。
提示注入是一项重大风险吗?
提示注入当前尚未被认为是重大风险,但随着攻击手段演进,其影响可能进一步扩大。
锁定模式会改变合规 API 日志平台中记录的内容吗?
否。合规 API 日志平台提供了详细的可见性,涵盖应用使用情况、共享数据和关联来源。这些日志不会因锁定模式而更改。
