OpenAI добавила в ChatGPT режим Lockdown Mode, который отключает все функции, требующие выхода в интернет или подключения к внешним сервисам. В активном состоянии режим ограничивает веб-поиск кешированными результатами, полностью блокирует Deep Research и Agent Mode, запрещает загрузку файлов из сети, скрывает веб-изображения в ответах и отключает сетевой доступ для кода, сгенерированного в Canvas.
Целевая аудитория функции — частные пользователи и организации, обрабатывающие особо чувствительные данные: юридические документы, финансовую отчётность, медицинские записи. Для личных аккаунтов и самостоятельно управляемых подписок ChatGPT Business режим включается через «Настройки → Безопасность». В корпоративных рабочих пространствах администраторы могут назначать его отдельным пользователям или группам через механизм ролевого управления доступом (RBAC). При необходимости пользователь вправе временно отключить Lockdown Mode для конкретного чата — но совместить его с Developer Mode нельзя: эти два режима взаимоисключающие.
| Функция | Состояние в Lockdown Mode |
|---|---|
| Веб-поиск | Ограничен кешированными результатами |
| Deep Research | Полностью отключён |
| Agent Mode | Полностью отключён |
| Загрузка файлов из сети | Заблокирована |
| Веб-изображения в ответах | Скрыты |
| Сетевой доступ для кода Canvas | Заблокирован |
| Developer Mode | Несовместим с Lockdown Mode |
Проблема, которую режим призван решить, — prompt injection — существует столько же, сколько сами большие языковые модели. Суть атаки: злоумышленник прячет инструкции внутри текста, файла или веб-страницы, которую обрабатывает модель. Получив такую инструкцию, модель может начать действовать в интересах атакующего — например, незаметно передавать фрагменты переписки на внешний сервер. Уязвимость была задокументирована ещё во времена GPT-3 и с тех пор регулярно эксплуатируется, несмотря на годы исследований. OpenAI сама характеризует prompt injection как «сложную исследовательскую проблему на переднем крае науки», признавая, что универсального решения до сих пор нет.
Режим блокирует только последний шаг атаки — отправку данных злоумышленнику через сеть.
Lockdown Mode строится поверх уже существующих защитных механизмов: изоляции (sandboxing), блокировки URL-based exfiltration, мониторинга и контроля доступа. Логика режима — отрезать последнее звено в цепочке атаки: даже если вредоносная инструкция проникла в контекст модели и та «захотела» передать данные наружу, сетевой запрос будет заблокирован. Однако OpenAI прямо предупреждает: скрытая инструкция в загруженном файле по-прежнему способна влиять на поведение модели и приводить к некорректным ответам. Режим не защищает от самого факта манипуляции — только от финальной утечки данных через сеть.
В официальном FAQ компания формулирует осторожно: prompt injection «в настоящее время не является серьёзным риском», однако «угроза может вырасти по мере того, как атакующие будут разрабатывать более изощрённые методы». Это важная оговорка для тех, кто рассматривает ChatGPT как инструмент для работы с финансовыми или медицинскими данными: Lockdown Mode снижает поверхность атаки, но не устраняет саму уязвимость. Для корпоративных развёртываний OpenAI рекомендует администраторам подключать только доверенные приложения и оценивать риск утечки данных для каждого коннектора индивидуально.
Появление Lockdown Mode отражает более широкую тенденцию в отрасли: по мере того как LLM-агенты получают доступ к реальным инструментам — браузеру, файловой системе, API сторонних сервисов, — вектор атак через prompt injection становится всё более практически значимым. Исследователи из академической среды и команды безопасности крупных лабораторий публикуют новые сценарии эксплуатации быстрее, чем появляются надёжные контрмеры. Lockdown Mode — это признание этого разрыва и попытка дать пользователям хотя бы управляемый компромисс между функциональностью и безопасностью.