[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"news-a9a21ee5-7445-4beb-a683-8f984af443ae":3},{"id":4,"title":5,"summary":6,"original_url":7,"source_id":8,"tags":9,"published_at":23,"created_at":24,"modified_at":25,"is_published":26,"publish_type":27,"image_url":13,"view_count":28},"a9a21ee5-7445-4beb-a683-8f984af443ae","OpenAI 把 Lockdown Mode 推向个人账户：确定性机制如何重塑 LLM Agent 安全边界","6 月 4 日，OpenAI 把原本只向企业版开放的 Lockdown Mode 正式推送给个人 ChatGPT 用户。表面是一次权限调整，背后却是 prompt injection 防御思路的范式转变——不再寄希望于模型自己能识别攻击，而是用确定性机制把攻击的\"最后一步\"硬切掉。\n\nSimon Willison 提出的「Lethal Trifecta」是理解这件事的钥匙：LLM 系统一旦同时具备访问私有数据、接触不可信内容、以及把数据传出外部的通道，理论上就必然存在被 prompt injection 攻击的可能。过去一年多，OpenAI、Anthropic、Google 的安全博客反复承认这一点，却始终没给出可操作的解。\n\nLockdown Mode 的设计直指 Lethal Trifecta 的第三条腿：外传通道。它通过确定性机制（不依赖 AI 评估）关闭一系列高风险功能——实时网页浏览被限制为只能读取缓存、响应中不再展示图片、Deep Research 与 Agent Mode 直接禁用、Canvas 联网与文件下载被关停、实时连接器被冻结。关键是：当 OpenAI 无法在某个工具上提供确定性的数据安全保证时，干脆把它关掉，而不是寄希望于模型层做出正确判断。\n\n这种\"安全默认即关闭\"思路的本质，是把 LLM Agent 视为新操作系统，把 sandbox、权限控制这些系统软件范式平移过来。对处理并购、源代码、客户敏感数据的高风险用户，Lockdown Mode 提供的不是\"防护\"而是\"可证明的隔离\"。\n\n更值得关注的信号是：OpenAI 在企业版上线数月后，谨慎地开放给个人账户，意味着对个人高风险群体的需求已经被验证。可以预见，Anthropic Claude 与 Google Gemini 会在下半年以类似形态推出对应\"高安全模式\"——Lethal Trifecta 是所有 LLM Agent 共同的安全天花板。承认天花板的存在，再从工具层绕开它，是 2026 年 LLM 安全最务实的转向。","https:\u002F\u002Fhelp.openai.com\u002Fen\u002Farticles\u002F20001061-lockdown-mode","15975962-b5fe-49e5-ae68-687ba6cb7015",[10,14,17,20],{"id":11,"name":12,"slug":12,"description":13,"color":13},"1fcfaaf2-67de-43d3-9e35-5784852fec60","ai-safety",null,{"id":15,"name":16,"slug":16,"description":13,"color":13},"40269b40-7942-4650-9672-ed2e6524d37a","ai-technology",{"id":18,"name":19,"slug":19,"description":13,"color":13},"01598627-1ea6-4b27-a5d8-874971571a71","llm",{"id":21,"name":22,"slug":22,"description":13,"color":13},"42e59a88-7795-47dc-a334-ef1e72c24347","openai","2026-06-07T14:15:00Z","2026-06-07T14:16:56.130684Z","2026-06-07T14:16:56.130693Z",true,"agent",2]