Mit dem neuen Lockdown-Mode können ChatGPT-Nutzer Webzugriff, Deep Research und Agent Mode deaktivieren, um sich besser vor Datendiebstahl durch Prompt-Injection-Angriffe zu schützen. Das Feature richtet sich primär an Nutzer mit sensiblen Daten.
Der Lockdown-Modus schränkt sämtliche Funktionen ein, die ChatGPT mit dem Internet oder externen Diensten verbinden. Damit soll verhindert werden, dass ein Angreifer über sogenannte Prompt Injections, also versteckte Anweisungen in Texten oder Dateien, das Verhalten des Modells manipuliert und sensible Nutzerdaten nach außen schleust. Das Feature richte sich an Personen und Organisationen mit besonders sensiblen Daten, so OpenAI.
Die Live-Websuche wird auf gecachte Inhalte beschränkt, Suchergebnisse können dadurch veraltet oder gar nicht verfügbar sein. Deep Research und Agent Mode werden vollständig deaktiviert. ChatGPT kann keine Dateien mehr herunterladen und zeigt in regulären Antworten keine Bilder aus dem Web an. Auch der Netzwerkzugriff für Canvas-generierten Code wird blockiert.
Prompt Injection bleibt ein ungelöstes Problem
OpenAI bezeichnet Prompt Injection als ein "anspruchsvolles Forschungsproblem an vorderster Front", an dessen Lösung das Unternehmen kontinuierlich arbeite. Das stimmt zwar, ist aber nur ein Teil der Wahrheit: Prompt-Injections sind seit mindestens GPT-3 als häufig genutzte Sicherheitslücke von LLMs bekannt, auf die es trotz jahrelanger Forschung bis heute keine nennenswerte Lösung gibt.
Der neue Lockdown-Mode baut auf bestehenden Schutzmaßnahmen auf, darunter Sandboxing, URL-basierter Exfiltrationsschutz sowie Monitoring und Zugangskontrollen.
Aber auch er verhindert Prompt-Injections nicht vollständig: Eine in einer hochgeladenen Datei versteckte manipulative Anweisung könne weiterhin das Verhalten des Modells beeinflussen und etwa zu falschen Antworten führen. Der Modus blockiert lediglich den letzten Schritt einer Exfiltrationskette, also den Versuch, Daten über Netzwerkanfragen an einen Angreifer zu übermitteln.
OpenAI schreibt in den FAQ, dass Prompt Injection "derzeit kein großes Risiko" darstelle, die Auswirkungen aber wachsen könnten, "wenn Angreifer ausgefeiltere Methoden entwickeln". Einen vollständigen Schutz garantiere der Lockdown-Mode nicht.
Nutzer können den Modus pro Chat deaktivieren
Für persönliche Konten und selbstverwaltete ChatGPT-Business-Konten lässt sich der Lockdown-Mode unter "Settings > Security" aktivieren. In verwalteten Workspaces können Administratoren den Modus über rollenbasierte Zugriffskontrollen (RBAC) für einzelne Mitglieder oder Gruppen einrichten.
Nutzer können den Lockdown-Modus für einzelne Chats vorübergehend ausschalten, wenn sie für eine bestimmte Konversation die volle Funktionalität benötigen. Allerdings schließen sich Lockdown-Mode und Developer-Mode gegenseitig aus.
Bei der Nutzung von Apps und Connectors differenziert OpenAI je nach Kontotyp. In persönlichen Konten erlaubt der Lockdown-Mode Connectors, die auf bereits synchronisierte Daten zugreifen, blockiert aber Live-Zugriffe und Schreibaktionen. Finanz- und Shopping-Funktionen in ChatGPT sind ebenfalls nicht verfügbar.
In verwalteten Workspaces werden Apps nicht automatisch deaktiviert. OpenAI empfiehlt Administratoren, nur vertrauenswürdige Apps freizuschalten und dabei die Exfiltrationsrisiken jeder einzelnen App zu bewerten. Das Unternehmen stuft Schreibaktionen für nicht vertrauenswürdige Apps als hohes Risiko ein, während Sync-Connectors und Leseaktionen für vertrauenswürdige Apps als mittleres Risiko gelten.
KI-News ohne Hype – von Menschen kuratiert
Mit dem THE‑DECODER‑Abo liest du werbefrei und wirst Teil unserer Community: Diskutiere im Kommentarsystem, erhalte unseren wöchentlichen KI‑Newsletter, 6× im Jahr den "KI Radar"‑Frontier‑Newsletter mit den neuesten Entwicklungen aus der Spitze der KI‑Forschung, bis zu 25 % Rabatt auf KI Pro‑Events und Zugriff auf das komplette Archiv der letzten zehn Jahre.
