OpenAI Chronicle：为 Codex 截屏提供上下文，却打开了隐私潘多拉魔盒

OpenAI 针对其 macOS 版 Codex 应用推出了名为 Chronicle 的选择性加入研究预览功能。该功能通过截取用户屏幕图像，为 AI 编程代理提供上下文信息，旨在减少用户重复描述工作背景的需要。然而，这一功能迅速引发了安全和隐私研究人员的强烈批评。

Microsoft Recall 的 macOS 版翻版？

安全研究员 Michael Taggart 在看到 Chronicle 文档后直言："天哪，OpenAI 为 macOS 重新发明了 Recall。"

这一比喻并非空穴来风。2024 年，微软在 Windows 中推出 Recall 功能，每隔几秒截取一次用户桌面画面并保存到磁盘，意图为 Copilot 提供更多上下文。该功能遭到了安全社区的猛烈抨击，被称为"键盘记录器"、"隐私噩梦"和"诉讼诱饵"。Brave 浏览器甚至专门推出了 Recall 截屏拦截功能——The Register 此前的测试发现，Recall 尽管声称有敏感信息过滤，但仍然会保存信用卡号和密码的截图。

数据流向与存储风险

Chronicle 的工作流程如下：

1. 截屏：捕获用户屏幕内容，临时存储在 $TMPDIR/chronicle/screen_recording/
2. 上传处理：选定的截图帧被发送到 OpenAI 服务器，通过 OCR 提取文本并生成"记忆"
3. 本地存储：生成的记忆以未加密的 Markdown 文件形式保存在 ~/.codex/memories_extensions/chronicle/

OpenAI 声称：

• 截屏数据仅在本地存储 6 小时，之后自动删除
• 截屏不会用于模型训练
• 截屏处理后不在服务器长期存储（除非法律要求）

但问题在于第二层风险：

• OCR 提取的文本记忆文件是未加密的本地 Markdown，任何有设备访问权限的程序都能读取
• 这些记忆文件在后续 Codex 会话中会被发送回 OpenAI 服务器
• 如果用户的 ChatGPT 设置允许，这些记忆内容可能被用于模型训练
• OpenAI 未明确说明 OCR 文本记忆是否会在服务器端存储，或在法律要求下被要求存储

OpenAI 自己承认的风险

OpenAI 在官方文档中列出了三大风险，措辞相当直白：

"在启用前请注意：Chronicle 会快速消耗速率限制，增加提示注入风险，并在您的设备上以未加密方式存储记忆。"

具体而言：

速率限制消耗加速

Chronicle 使用 Codex 会话来处理截屏数据并生成记忆，这会加速消耗 Codex 的速率限制，直接降低用户在正常工作流下的使用配额。

提示注入攻击面扩大

如果用户浏览了包含恶意 agent 指令的网站，Codex 可能会执行这些指令。OpenAI 文档承认：

"使用 Chronicle 会增加来自屏幕内容的提示注入攻击风险。例如，如果您浏览了一个包含恶意 agent 指令的网站，Codex 可能会遵循这些指令。"

本地数据无保护

记忆文件存储在 $CODEX_HOME/memories_extensions/chronicle/ 目录下，没有任何加密。OpenAI 自己警告：

"截屏和记忆的目录都可能包含敏感信息。请确保不要与他人共享内容，并注意您计算机上的其他程序也可以访问这些文件。"

可用范围与使用建议

目前 Chronicle 的限制条件较多：

• 仅限 macOS（Codex 应用）
• 仅限 ChatGPT Pro 订阅者
• 暂不可用：欧盟、英国、瑞士
• 需要 macOS 屏幕录制和辅助功能权限

OpenAI 建议用户在查看敏感内容或开会前暂停 Chronicle。

评价

Chronicle 的功能设计初衷是合理的——减少上下文重复描述确实是 AI 编程助手的痛点。但 OpenAI 的实现方式存在明显的隐私和安全短板：

• 未加密存储：在 2026 年，任何涉及敏感信息的本地存储都应默认加密
• 模糊的数据边界：截屏不训练 ≠ 记忆不训练，这一区别对大多数用户来说并不直观
• 被动式上传：用户可能不清楚哪些截图数据被选中发送到了服务器
• 提示注入：将用户浏览的所有内容作为潜在攻击面，设计上过于激进

The Register 的评价可谓一针见血："你已经收到警告了——这把枪会打中你自己的脚。"

来源：The Register | OpenAI Chronicle 官方文档