Войти Подписаться
Ключевые хабы
LLM ИИ для разработчиков OpenAI AI-агенты Нейросети Продуктивность RAG
безопасность

OpenAI Lockdown Mode: что он даёт против prompt injection

OpenAI начал поэтапный запуск Lockdown Mode для ChatGPT. Разбираем, какие функции он отключает, как снижает риск prompt injection и почему это не полная защита.

OpenAI Lockdown Mode снижает риск prompt injection в ChatGPT

Проверено 6 июня 2026 года. OpenAI начала поэтапный запуск Lockdown Mode — дополнительной настройки безопасности для ChatGPT и других поддерживаемых продуктов. Режим ограничивает функции, которые ходят в веб или внешние сервисы, чтобы снизить риск утечки данных после prompt injection.

OpenAI не заявляет победу над prompt injection. Официальный Help Center прямо оговаривает, что вредная инструкция всё ещё может попасть в кэшированный веб-контент или загруженный файл и повлиять на ответ. Lockdown Mode закрывает другой этап атаки: момент, когда модель или агент выводит чувствительные данные наружу через сетевой запрос, изображение, файл или действие подключённого инструмента.

Для обычного чата это может быть избыточно. Для человека, который обсуждает в ChatGPT внутренние документы, код, финансы, клиентские данные или корпоративные источники, это уже не косметическая галочка в настройках.

Что такое OpenAI Lockdown Mode

OpenAI Lockdown Mode — это опциональный режим усиленной безопасности, который ограничивает доступ ChatGPT к вебу и внешним сервисам. OpenAI позиционирует его как защиту от data exfiltration, то есть от вывода чувствительных данных атакующему, если в контекст попала prompt injection.

По состоянию на 6 июня 2026 года Help Center описывает поэтапный запуск для подходящих личных аккаунтов, включая Free, Go, Plus и Pro, а также self-serve ChatGPT Business. Если переключателя нет в настройках, режим мог ещё не дойти до аккаунта. В управляемых рабочих пространствах администраторы включают ограничения через роли и RBAC.

Диаграмма OpenAI: пользователь просит AI выполнить задачу, AI видит сайт с prompt injection и может перейти к нежелательному действию
OpenAI объясняет prompt injection как атаку, где третья сторона подсовывает модели вредные инструкции через веб-страницу, документ или другой внешний контент. Источник: OpenAI.

Включается режим в Settings > Security > Advanced security > Lockdown Mode. Есть важная деталь: Lockdown Mode и Developer Mode нельзя использовать одновременно. Если включить Lockdown Mode, Developer Mode отключится; если позже включить Developer Mode, отключится Lockdown Mode.

Что отключает режим

Lockdown Mode бьёт по функциям, через которые ChatGPT может обращаться наружу или получать активный внешний контент. Режим работает как набор ограничений, а не как один флаг «выключить интернет».

Функция Что меняется в Lockdown Mode Что остаётся
Live web browsing Живой веб-браузинг отключается; доступ ограничен кэшированным контентом. Результаты могут быть неполными, недоступными или устаревшими. ChatGPT всё ещё может работать с уже кэшированными веб-данными.
Изображения из веба ChatGPT может не показывать изображения в обычных ответах и не подтягивать картинки из интернета. Пользователь может загружать изображения вручную; генерация изображений остаётся доступной там, где она была доступна.
Deep Research Полностью отключается. Обычные ответы и работа с загруженным пользователем контентом остаются, если они доступны в аккаунте.
Agent mode Полностью отключается. Неавтономные сценарии ChatGPT остаются.
Canvas networking Пользователь не может разрешить коду, сгенерированному Canvas, доступ к сети. Canvas может использоваться без сетевого доступа, если он доступен в продукте.
File downloads ChatGPT не может скачивать файлы для анализа данных. Модель может работать с файлами, которые пользователь загрузил сам.

Поэтому новость важна именно для безопасности, а не только для UX. Prompt injection часто опасна в связке с инструментами: вебом, файлами, агентными действиями, подключёнными источниками и возможностью тихо отправить данные наружу.

Что Lockdown Mode не закрывает

Самая частая ошибка — читать Lockdown Mode как «режим полной защиты». OpenAI так его не описывает. В Help Center отдельно сказано, что режим не меняет память, загрузку файлов, возможность делиться разговором и настройки использования разговоров для улучшения моделей. Эти параметры управляются отдельно, а в рабочих пространствах зависят от плана и настроек администратора.

Ещё одна граница: Lockdown Mode не влияет на сетевой доступ Codex. Это важно для разработчиков, которые могут решить, что один переключатель в ChatGPT автоматически закрывает риски в coding-agent сценариях. Нет, для Codex и агентного контура нужны собственные ограничения, sandbox, права доступа и контроль сетевых действий.

С Apps, MCP и connectors ситуация тоже не бинарная. Для личных аккаунтов и self-serve ChatGPT Business режим разрешает connectors с синхронизированными данными, но блокирует live connector access и write actions. В управляемых рабочих пространствах всё зависит от настроек, ролей и выданных прав. OpenAI отдельно советует администраторам включать только доверенные приложения и действия, которые действительно нужны пользователям в Lockdown Mode.

Почему prompt injection остаётся системным риском

OpenAI в отдельном материале определяет prompt injection как атаку социальной инженерии для разговорного ИИ: третья сторона, не пользователь и не AI, подсовывает модели вредные инструкции внутри контекста. Это может быть веб-страница, документ, письмо, комментарий в листинге, описание инструмента или другой кусок текста, который модель читает по ходу задачи.

Риск растёт вместе с правами ассистента. Пока модель только отвечает на вопрос, ущерб часто ограничен неправильным ответом. Когда у неё есть доступ к почте, документам, браузеру, файлам и действиям от имени пользователя, вредная инструкция может попытаться вытянуть банковскую выписку, клиентский список, заголовок закрытого документа или фрагмент внутреннего кода.

Предупреждение OpenAI о непроверенной ссылке, которая может передать данные из разговора стороннему сайту
Пример URL-based data exfiltration: вредная инструкция может заставить агента открыть ссылку, куда в параметрах попали приватные данные. Источник: OpenAI.

Именно поэтому Lockdown Mode нацелен на финальную стадию эксфильтрации. Если вредная инструкция всё же попала в контекст, режим уменьшает число каналов, через которые она может вывести данные наружу: живой веб, внешние изображения, скачивание файлов, агентный режим и сетевые действия Canvas.

Но он не делает контент доверенным. Кэшированная веб-страница может содержать вредную инструкцию. Загруженный PDF тоже. Подключённое приложение в рабочем пространстве может оставаться источником или приёмником чувствительных данных, если администратор выдал слишком широкие права. Поэтому режим полезен как один слой защиты, а не как замена модели угроз.

Кому стоит включить Lockdown Mode

Режим в первую очередь нужен тем, кто работает с данными, которые нельзя случайно вынести за пределы разговора: юристам, финансистам, разработчикам с приватными репозиториями, аналитикам с клиентскими выгрузками, менеджерам с коммерческими документами. Если ChatGPT используется как рабочий помощник рядом с корпоративными источниками, цена отключённых функций может быть оправданной.

Для бытовых задач режим часто будет мешать. Он ухудшит свежесть веб-поиска, отключит Deep Research и agent mode, ограничит картинки из веба и файловые скачивания. Если пользователь просит ChatGPT найти актуальные новости, собрать рыночную справку или провести глубокое исследование по открытым источникам, Lockdown Mode будет работать против задачи.

Практическое правило простое: включать режим стоит не «навсегда всем», а для задач с чувствительными данными и внешним контентом. OpenAI позволяет отключить Lockdown Mode для одного чата через статусный блок над полем ввода или меню Lockdown. Это полезно: можно держать строгий режим по умолчанию и временно снимать его там, где нужен полный веб.

Что это значит для компаний

Для компаний Lockdown Mode — повод пересмотреть не только ChatGPT-настройки, но и политику инструментов. Сам режим не спасёт, если рабочее пространство разрешает приложениям слишком широкие действия чтения и записи или подключает непроверенные MCP-серверы. OpenAI прямо разделяет риски: sync connectors ниже как канал утечки, потому что данные уже синхронизированы в OpenAI, но они всё ещё могут быть источником чувствительных данных; write actions опаснее, потому что создают побочный эффект.

Минимальный набор мер для администраторов выглядит так:

  • включать Lockdown Mode через роли для групп, которые работают с чувствительными данными;
  • оставлять только доверенные apps, MCP и connectors;
  • разрешать действия записи только там, где побочный эффект виден доверенным людям, а не внешнему атакующему;
  • разделять read-доступ и действия, которые что-то отправляют или публикуют;
  • проверять журналы app usage и connected sources через корпоративные механизмы аудита.

Эта логика хорошо стыкуется с соседними кейсами Toolarium. В разборе prompt injection через stdout в jqwik риск появлялся из рабочего вывода инструмента. В истории про Microsoft Copilot Cowork и утечку файлов проблема была в агенте с доступом к рабочим источникам. А материал про OpenAI Safety Bug Bounty показывает, что сама OpenAI стимулирует поиск realistic attack paths, где атака реально ведёт к раскрытию пользовательских данных.

Итог

OpenAI Lockdown Mode — полезный сдвиг от абстрактных предупреждений к конкретному пользовательскому контролю. Он не решает prompt injection как исследовательскую проблему и не делает весь контент безопасным. Зато снижает вероятность самого неприятного сценария: вредная инструкция попала в контекст, а затем незаметно вывела данные через внешний запрос или действие.

Главный вывод для технических команд: Lockdown Mode стоит воспринимать как строгий профиль работы с чувствительными данными. Включили — получили меньше свежего веба и меньше агентных функций, зато сузили поверхность эксфильтрации. Не включили — тогда нужны другие компенсирующие меры: принцип минимальных прав, список разрешённых инструментов, sandbox, audit logs и осторожная работа с внешним контентом.

FAQ

Защищает ли Lockdown Mode от всех prompt injection?

Нет. OpenAI пишет, что режим существенно снижает риск эксфильтрации данных через prompt injection, но не гарантирует, что утечка невозможна. Вредная инструкция может остаться в кэшированном веб-контенте, загруженном файле, включённом приложении или новой комбинации возможностей.

Кому нужен OpenAI Lockdown Mode?

Он нужен пользователям и организациям, которые обсуждают в ChatGPT чувствительные данные: внутренние документы, код, финансы, клиентские выгрузки, юридические материалы. Для обычных бытовых запросов режим может быть лишним, потому что отключает полезные функции.

Можно ли отключить Lockdown Mode для одного чата?

Да. Когда режим включён, его можно отключить только для текущего чата через статусное сообщение над composer или через меню Lockdown. Глобальная настройка при этом остаётся включённой.

Влияет ли Lockdown Mode на Codex?

Нет. OpenAI отдельно указывает, что Lockdown Mode не влияет на сетевой доступ Codex. Для coding-agent сценариев нужны отдельные ограничения и контроль среды выполнения.

Отключает ли Lockdown Mode обучение на моих разговорах?

Нет. Режим не меняет data controls и не определяет, могут ли разговоры использоваться для улучшения моделей. Это настраивается отдельно, а в рабочих пространствах зависит от плана и политики администратора.

Источники

Похожие статьи

Telegram-канал @toolarium