A OpenAI começou a liberar um novo recurso de segurança chamado Lockdown Mode para o ChatGPT, com o objetivo de reduzir o risco de exfiltração de dados causada por ataques de prompt injection. A funcionalidade é opcional e foi criada para usuários e organizações que lidam com informações sensíveis e precisam de garantias mais rígidas de proteção ao usar recursos conectados à web ou a serviços externos.

O Lockdown Mode está disponível para usuários logados em contas pessoais Free, Go, Plus e Pro, além de planos self-service do ChatGPT Business. Segundo a OpenAI, o recurso funciona como uma configuração avançada de segurança que limita várias ferramentas e capacidades dos produtos da empresa capazes de se conectar à internet ou interagir com serviços externos.

A proposta do novo modo não é impedir que ataques de prompt injection aconteçam. Esse tipo de ataque ocorre quando uma instrução maliciosa é inserida em um conteúdo processado pelo modelo, como uma página da web, documento ou outro material analisado pela IA, com o objetivo de alterar seu comportamento. Em vez disso, o Lockdown Mode busca bloquear caminhos que poderiam ser usados para enviar dados sensíveis para infraestrutura controlada por invasores.

Na prática, a proteção atua principalmente sobre solicitações de rede de saída. Em um cenário de prompt injection, um conteúdo malicioso poderia tentar induzir o modelo a acessar uma URL, carregar uma imagem remota, acionar uma ferramenta conectada ou transmitir informações por algum canal externo. Ao limitar essas capacidades, o Lockdown Mode reduz a superfície disponível para exfiltração de dados.

A OpenAI afirma que o recurso se apoia em mecanismos de sandboxing e controles já existentes para combater técnicas de exfiltração baseadas em URLs. A ideia é restringir requisições externas que poderiam transportar dados confidenciais para servidores de terceiros. Esse tipo de controle é especialmente relevante em fluxos nos quais o usuário trabalha com documentos internos, informações corporativas, credenciais, dados regulados ou conteúdos sensíveis.

Quando ativado, o Lockdown Mode desabilita ou limita recursos importantes do ChatGPT. A navegação web ao vivo passa a ser restrita ao acesso a conteúdo em cache. O suporte a imagens em respostas comuns ou obtidas da web também é limitado. Recursos como Deep Research, Agent Mode, rede no Canvas e download de arquivos para análise de dados são desativados ou bloqueados.

No caso do Canvas, a restrição impede que usuários aprovem códigos gerados nesse ambiente para acessar a rede. Já nos downloads de arquivos, o modo bloqueia a obtenção de arquivos usados em análise de dados. Essas limitações podem reduzir conveniência e produtividade em alguns fluxos de trabalho, mas foram projetadas para diminuir o risco de que dados sejam enviados para fora da conversa por meio de funcionalidades conectadas.

A empresa destaca que o Lockdown Mode não altera o funcionamento da memória, dos uploads de arquivos nem da opção de compartilhar conversas. Isso significa que a configuração é focada nos canais de saída e nas capacidades conectadas, e não em todas as formas de interação com o ChatGPT. Por esse motivo, a OpenAI também alerta que o recurso não deve ser interpretado como uma proteção absoluta contra todos os efeitos de prompt injection.

Um arquivo malicioso enviado pelo usuário, por exemplo, ainda poderia conter instruções ocultas capazes de influenciar o comportamento do ChatGPT e levar a uma resposta incorreta. Nessa situação, o Lockdown Mode pode reduzir a chance de vazamento por canais externos, mas não elimina a possibilidade de manipulação da resposta do modelo. Essa distinção é importante para empresas que pretendem usar a funcionalidade como parte de uma estratégia de governança de IA.

A OpenAI também informou que o Lockdown Mode e o Developer Mode não podem ser utilizados ao mesmo tempo. Ao ativar um deles, o outro é desabilitado. Essa separação reflete objetivos distintos: enquanto o Developer Mode tende a ampliar capacidades de personalização e desenvolvimento, o Lockdown Mode reduz funcionalidades para priorizar segurança.

O recurso não é destinado a todos os usuários. A própria OpenAI afirma que ele foi pensado para pessoas e organizações que exigem um nível mais elevado de proteção, mesmo que isso signifique abrir mão de recursos úteis. Em ambientes corporativos, a funcionalidade tende a ser mais relevante para executivos, equipes jurídicas, áreas de segurança, profissionais que lidam com propriedade intelectual, times de pesquisa, organizações reguladas e empresas que processam dados confidenciais no ChatGPT.

O lançamento ocorre em um momento em que ataques de prompt injection continuam sendo um desafio relevante para grandes modelos de linguagem. Como LLMs podem processar conteúdos não confiáveis, como páginas web, documentos recebidos de terceiros ou dados extraídos de sistemas conectados, há risco de que instruções maliciosas sejam interpretadas pelo modelo durante uma tarefa legítima. Quando essas instruções conseguem acionar ferramentas externas, o impacto pode incluir vazamento de dados, execução indevida de ações ou respostas manipuladas.

Apesar das proteções, a OpenAI ressalta que o Lockdown Mode não garante que a exfiltração de dados seja impossível. Riscos ainda podem permanecer por meio de aplicativos habilitados, combinações imprevistas de capacidades ou novas técnicas descobertas por invasores. Isso reforça que o recurso deve ser tratado como uma camada adicional de defesa, e não como substituto para políticas internas de segurança, classificação de dados, revisão de permissões e controles de uso de IA.

Além do Lockdown Mode, a OpenAI também lançou um novo recurso de gerenciamento de contas que permite aos usuários revisar sessões ativas do ChatGPT e encerrar sessões individuais ou todas as sessões em caso de suspeita de atividade não autorizada. A lista de sessões inclui informações como dispositivo, aplicativo utilizado, localização aproximada, data e horário de login, se o dispositivo é confiável e se a sessão atual está em uso.

Esse controle de sessões complementa a estratégia de segurança ao dar mais visibilidade sobre acessos à conta. Em organizações, esse tipo de recurso pode ajudar investigações internas, resposta a incidentes e ações rápidas quando há suspeita de comprometimento de credenciais. Para usuários individuais, a funcionalidade também facilita identificar acessos incomuns e encerrar conexões que não deveriam permanecer ativas.

O novo Lockdown Mode representa uma tentativa de endurecer o uso de IA generativa em contextos de maior sensibilidade. Ao limitar recursos conectados à rede, a OpenAI busca reduzir uma das principais rotas de exploração associadas a prompt injection: a capacidade de transformar uma instrução maliciosa escondida em um conteúdo aparentemente legítimo em um canal para envio de dados para fora do ambiente controlado.

Para empresas que já usam ChatGPT em processos internos, o recurso pode ser útil em fluxos que envolvem análise de documentos confidenciais, revisão de contratos, investigação de incidentes, tratamento de dados corporativos ou apoio a decisões estratégicas. Ainda assim, sua adoção deve vir acompanhada de orientação aos usuários, revisão de permissões, boas práticas de classificação da informação e monitoramento contínuo dos riscos associados ao uso de IA.