OpenAI lança Lockdown Mode para blindar o ChatGPT contra ataques de prompt injection

O Lockdown Mode não é só mais um interruptor de segurança: é a primeira resposta operacional da OpenAI a um risco que a OWASP classificou como #1 em 2025 e o NIST chamou de 'maior falha da IA generativa'. Ele ataca especificamente o vetor mais perigoso, o prompt injection indireto , , onde páginas maliciosas, PDFs ou imagens carregados no ChatGPT podem esconder instruções que forçam o modelo a vazar dados sensíveis sem nenhuma interação explícita do usuário. A novidade está na abordagem: em vez de tentar filtrar entradas (falha conhecida), a OpenAI corta os canais de exfiltração, desabilitando navegação ao vivo, Deep Research e Agent Mode, que são justamente os pontos onde o modelo faz requisições externas sob comando oculto. Isso transforma o problema de detecção em questão de arquitetura: menos superfície de ataque, menos dependência de heurísticas frágeis.

O recurso chega em momento crítico: após casos reais como a exfiltração zero-click no Microsoft 365 Copilot (CVE-2025-32711) e a execução remota via GitHub Copilot (CVE-2025-53773), organizações passaram a exigir controles concretos, não apenas promessas de 'melhorias contínuas'. O Lockdown Mode é ativado por padrão em planos empresariais desde abril, mas agora se estende a contas pessoais e Business de autoatendimento, sinal de que a ameaça deixou de ser teórica para afetar usuários comuns que manipulam dados financeiros ou documentos confidenciais.

Antes, a OpenAI tratava segurança de prompt injection como problema de modelagem e filtragem, foco dos relatórios de pesquisa e do programa TAC com modelos especializados como o GPT-5.4-Cyber. Agora, ela migrou para uma camada de execução: o Lockdown Mode é uma mudança arquitetônica, não apenas algorítmica. Diferente do Daybreak (que detecta vulnerabilidades em código de terceiros) ou do Contato de Confiança (que lida com riscos humanos), este modo age diretamente no comportamento do ChatGPT em tempo real, bloqueando funcionalidades que permitem interação com a web, algo que nem o sandboxing do Codex (reportado em 11/05) conseguia fazer no nível de aplicação final. Também é a primeira medida que impacta diretamente o recurso de finanças pessoais (lançado em 20/05): ele fica indisponível no Lockdown Mode, pois exige conectores ao vivo, prova de que a proteção veio com trade-offs reais, não só com marketing de segurança.

Porque ataques de prompt injection já estão sendo automatizados por agentes maliciosos, e reguladores europeus não estão mais aceitando 'mitigações futuras' como resposta. O Ato de IA da UE exige controles objetivos contra ameaças adversariais, com multas de até €35 milhões. O Lockdown Mode é o primeiro recurso comercial da OpenAI que atende explicitamente a esse requisito: é auditável, desativável por decisão organizacional e reduz mensuravelmente a superfície de ataque. Para desenvolvedores, ele também redefine o que significa 'seguro por padrão': agora, a proteção não depende de escrever prompts perfeitos, mas de configurar o ambiente de execução. E isso muda a forma como empresas vão integrar o ChatGPT em fluxos com dados sensíveis, não como uma caixa-preta com filtros, mas como um serviço com modos de operação distintos, cada um com seu perfil de risco claro.