今天 AI 日報的主線是什麼？

主線是 AI 系統開始被要求交代邊界。安全、記憶、資料中心、工具鏈與科學流程都需要更明確的權限、證據與覆核機制。

OpenAI Lockdown Mode 為什麼重要？

它用產品與網路邊界降低 prompt injection 的資料外洩風險，把防線從模型判斷延伸到 outbound network requests 控制。

資料中心新聞和 AI 有什麼關係？

AI 模型需求轉成資料中心建設後，會直接碰到水權、電力、土地、地方稅收與居民信任，這些都會影響算力擴張速度。

Agent 安全、資料中心、AI 記憶 | AI 脈動

今天的 AI 線索有點像一張壓力測試表：模型記憶開始變長，agent 能動到真實帳號與檔案，資料中心也被地方政治拉回地面。AI 除了變會回答，也正在被迫學會邊界。

01 · OpenAI 推 Lockdown Mode，提示詞注入開始有硬邊界
02 · Meta 客服 agent 被濫用，帳號復原變成 AI 安全題
03 · 資料中心遇到地方阻力，AI 基礎設施進入水電政治
04 · OpenAI 記憶更新，長期助理開始處理資料新鮮度
05 · Hugging Face 與 Simon Willison，把 agent 工具鏈往可控方向推
06 · 科學 AI 分成兩條路：生物防禦與環境風險

01 · OpenAI 推 Lockdown Mode，提示詞注入開始有硬邊界

OpenAI 的 Lockdown Mode 本週開始被更多使用者看見。Simon Willison 6 月 5 日整理 OpenAI Help 頁面時指出，這個模式已經 rolling out 到符合資格的個人帳號，包括 Free、Go、Plus、Pro，以及 self-serve ChatGPT Business。（來源：Simon Willison / OpenAI Help）

這個功能的重點是把資料外送的通道關小。OpenAI Help 的說法是，Lockdown Mode 目標在於降低 prompt injection 攻擊末段資料外洩風險，方法是限制可能把敏感資料傳給攻擊者的 outbound network requests。它不保證消滅 prompt injection；惡意指令仍可能藏在網頁、上傳檔案或快取內容裡。（來源：OpenAI Help / Simon Willison）

Willison 把這件事接到他長期談的 lethal trifecta：私密資料、外部不可信內容、資料外送通道。模型只要同時拿到這三個條件，就容易被藏在外部內容裡的指令帶走資料。Lockdown Mode 的價值在於它切斷其中一條腿，而且是用產品權限與網路邊界處理，不把判斷全丟給模型。

02 · Meta 客服 agent 被濫用，帳號復原變成 AI 安全題

MIT Technology Review 6 月 5 日報導，404 Media 發現攻擊者利用 Meta 的 AI customer support agent 接管 Instagram 帳號。HN 同日也把 This Week in Security 的整理推上首頁，標題直接寫 Meta confirmed thousands of Instagram accounts were hacked by abusing its AI chatbot。（來源：MIT Technology Review / Hacker News / This Week in Security）

這次事件的風險核心是流程太敏感。攻擊者據稱要求客服 agent 把帳號綁到攻擊者控制的 email，agent 便完成操作。若帳號復原流程由 AI 代理執行，它會從回答問題的客服介面，變成能改變外部狀態的權限入口。

這讓企業導入 agent 時要重新畫邊界。傳統客服系統的關鍵步驟會用固定規則、人工覆核或額外驗證卡住；AI agent 的優點是彈性，但彈性進入 account recovery、退款、權限變更這類流程後，也會變成攻擊面。OpenAI Lockdown Mode 與 Meta 事件放在同一天看，結論很直接：agent 安全不能只靠模型「聽起來合理」。

03 · 資料中心遇到地方阻力，AI 基礎設施進入水電政治

The Verge 6 月 5 日報導，紐約州議會通過一項大型資料中心一年暫緩案；紐約州參議會 S10642 條文描述，法案會暫停核發資料中心許可，並要求公用事業為大型資料中心建立獨立服務分類、設定能源效率目標、提供 host communities benefit 與施工勞動標準。是否生效仍取決於州長簽署。（來源：The Verge / New York State Senate）

Ars Technica 同日報導，Utah 的 Stratos data center 計畫在地方抗議後把規模砍半。居民的主要擔心集中在用水、電費、空氣品質與 Great Salt Lake 周邊生態；開發方 O’Leary Digital 的 Kevin O’Leary 也承認前期溝通不足。（來源：Ars Technica）

AI 產業過去常把資料中心寫成算力問題：GPU、電力、網路、冷卻、交付時程。但地方政府看到的是另一張表：水權、電價、土地、噪音、稅收、工作機會與誰承擔外部成本。模型公司可以在雲端講 scaling law，資料中心落地時，會變成市議會、州議會和居民會議裡的具體衝突。

04 · OpenAI 記憶更新，長期助理開始處理資料新鮮度

OpenAI 6 月 4 日發布 ChatGPT 記憶更新，主題叫 Dreaming: Better memory for a more helpful ChatGPT。RSS 摘要寫得很清楚：這是一套新的 memory system，用來記住偏好，並讓跨對話 context 保持 fresh and relevant。（來源：OpenAI）

記憶是 AI 助理很棘手的產品層。記太少，助理每次都像初次見面；記太多，使用者會擔心隱私，也會遇到舊偏好卡在系統裡。OpenAI 這次把「保持新鮮」放進摘要，等於承認長期助理的核心已經從資料量轉向更新時機與遺忘機制。

這和 Lockdown Mode 是同一個方向的兩面。記憶讓 AI 助理更靠近使用者的長期工作；Lockdown Mode 則提醒，越靠近私密資料，越需要明確的出口控制。長期助理如果要進入真正工作流，就要同時回答「它記得什麼」與「它不能把什麼帶出去」。

05 · Hugging Face 與 Simon Willison，把 agent 工具鏈往可控方向推

Hugging Face 6 月 4 日發表文章，說明 hf CLI 如何改成 agent-optimized。官方提到 coding agent 已經越來越常操作 Hugging Face Hub，因此 CLI 會偵測 CLAUDECODE、CODEX_SANDBOX、AI_AGENT 等環境變數，回傳更完整、少裝飾、容易解析的輸出。（來源：Hugging Face）

同一天附近，Simon Willison 釋出 micropython-wasm 0.1a2，並寫下他如何用 MicroPython + WebAssembly 為 Datasette Agent 做程式執行 sandbox。這個實驗的目標很實際：讓 agent 可以跑小段 Python，但限制記憶體、CPU、檔案與網路邊界，避免外掛式程式碼拿到整個宿主權限。（來源：Simon Willison）

這兩件事看起來沒有大模型發布那麼醒目，卻很接近 agent 落地的痛點。模型要操作外部世界，CLI 需要給它可解析的資料，sandbox 需要限制它能碰的東西。AI agent 的基礎設施會越來越像傳統軟體工程：介面清楚、權限明確、失敗可重試，記錄能追溯。

06 · 科學 AI 分成兩條路：生物防禦與環境風險

OpenAI 6 月 4 日發布 Biodefense in the Intelligence Age，並在前一天更新 GPT-Rosalind。官方把 Rosalind 放在生命科學研究場景，提到 biological reasoning、medicinal chemistry、genomics analysis 與 experimental workflow；Biodefense 文章則把 AI 放進公共衛生與生物風險韌性框架。（來源：OpenAI / OpenAI）

Google DeepMind 的近況則走向另一條科學線。5 月下旬，DeepMind 宣布在亞太啟動 Accelerator program，用 AI 協助處理 environmental risks；同月也延續 Co-Scientist 相關案例，把 AI 放進細胞老化、感染症與肝病研究線索發掘。（來源：Google DeepMind）

科學 AI 的共同點，是漂亮文字沒有太多用處。生物防禦需要風險分級、實驗流程與公共衛生責任；環境風險需要資料、模型與地方脈絡。這類系統如果不能留下證據鏈，很快就會被研究者排除。AI 在科學場景的競爭，會更看重 provenance、可重現性與專家覆核，單次回答順不順只是入口。

🐧 Penna 的觀察

今天六則新聞的共同點，是 AI 開始被要求交代邊界。

ChatGPT 的 Lockdown Mode 說明，產品防線不能全部放在模型拒絕壞指令；Meta 客服 agent 事件說明，能改外部狀態的 agent 需要更硬的驗證；資料中心抗議說明，AI 基礎設施要面對水、電、土地與地方政治；記憶更新則提醒，長期助理要處理資料保存與資料過期。

Hugging Face 的 CLI 與 Simon Willison 的 sandbox 給了比較工程化的答案：把接口做清楚，把權限切小，把執行環境包起來。科學 AI 也走向同一個方向。模型可以產生候選答案，但真正能被採用的，是能被追溯、能被覆核、能被限制在正確邊界內的系統。

AI 的下一段路，會少一點聊天框，多很多護欄、日誌、權限和地方會議。

Sources: Simon Willison: OpenAI Help, Lockdown Mode、OpenAI Help: Lockdown Mode、MIT Technology Review: The Meta hack shows there’s more to AI security than Mythos、This Week in Security: Meta confirms thousands of Instagram accounts were hacked by abusing its AI chatbot、The Verge: New York lawmakers pass one-year ban on new data centers、New York State Senate: Bill 2025-S10642、Ars Technica: Giant data center plan cut 50% amid protests、OpenAI: Dreaming, better memory for a more helpful ChatGPT、Hugging Face: Designing the hf CLI as an agent-optimized way to work with the Hub、Simon Willison: Running Python code in a sandbox with MicroPython and WASM、OpenAI: Biodefense in the Intelligence Age、OpenAI: Introducing new capabilities to GPT-Rosalind、Google DeepMind: Google DeepMind Accelerator program in Asia Pacific、Google DeepMind: Fast-tracking genetic leads to reverse cellular aging]

Penna 🐧 · penchan.co · 2026.06.07