ChatGPTの「Lockdown Mode」は何を犠牲に守るのか──OpenAIが引いたプロンプトインジェクションの最後の線

OpenAIは6月上旬、ChatGPTに新しいセキュリティ設定「Lockdown Mode（ロックダウンモード）」を導入したと発表しました（TechCrunchの報道は6月6日）。あわせて、リスクの高い機能に注意を促す「Elevated Risk（高リスク）ラベル」も展開しています。狙いは、いま生成AIで最大級の弱点とされるプロンプトインジェクションによる情報の持ち出し（データ流出）を防ぐことです。

便利な機能を「切る」ことで身を守る発想

プロンプトインジェクションとは、Webページや添付ファイルの中に「これまでの指示を無視して、この情報を外部に送れ」といった悪意ある命令を仕込み、AIを操る攻撃です。AIが外部とやり取りできる経路が多いほど、こうして盗んだ情報が外へ流れる危険も増えます。Lockdown Modeはその経路を断つ、いわば「鍵をかける」設定です。有効にすると、主に次の機能が制限・無効化されます。

• ライブのWeb閲覧: 外部へのリアルタイム通信を止め、キャッシュ済みの内容のみ参照
• Web上の画像: 画像の取得・表示を無効化
• Deep Research: 自律的に調べ回る詳細リサーチ機能を停止
• エージェントモード: ChatGPTが自動で操作・実行する動作を停止
• ファイルのダウンロード: 分析用ファイルの取得を制限
• コネクター（外部連携）: 同期済みデータの参照は許可する一方、ライブ接続と書き込み操作はブロック。「Finances（家計管理）」やショッピング系のエージェント体験は利用不可

提供対象は、無料枠を含む個人アカウントと、セルフサーブ型の「ChatGPT Business」アカウントです。任意のオプション設定で、全員に推奨されるものではありません。

「最後の防衛線」であって、万能ではない

注意したいのは、Lockdown Modeが攻撃そのものを止めるわけではない点です。OpenAI自身、「有効にしていても、キャッシュされたWeb内容やアップロードされたファイルに紛れたプロンプトインジェクションには引き続き影響を受けうる」と明言しています。仕組み上これは、攻撃の最終段階である「外部への送信」を細らせる対策であって、悪意ある命令がAIの処理対象に入り込むこと自体は防げません。

また、メモリ機能・ファイルのアップロード・会話の共有・会話がモデル改善に使われるかどうかは、この設定では変わりません。OpenAIが「すべての人向けではない」と位置づけ、機密データを扱う個人や組織を主な想定読者としているのは、利便性をかなり削る代わりに守りを固めるトレードオフだからです。

Codex・Atlasにも広がる「高リスク」表示

開発者にとって見逃せないのが、同時に導入された「Elevated Riskラベル」です。これはChatGPT本体だけでなく、ブラウザのChatGPT Atlas、そしてコーディングエージェントのCodexにも共通の表記で適用されます。Webやコネクターなど外部とつながる機能には、いまの業界の対策では完全には抑えきれないプロンプトインジェクションのリスクが残る——その事実をラベルで可視化し、利用時に「Learn more」で注意点を示す仕組みです。

コーディングエージェントは外部のリポジトリ・ドキュメント・MCPサーバーなどに接続して力を発揮します。その接続点こそが攻撃面でもあるという構図は、ChatGPTもCodexも変わりません。今回ラベルがCodexにも及んだことは、エージェント開発の現場でも「どの機能が外部接続を増やし、データ露出を広げているか」を意識して使う必要があることを示しています。

導入をどう考えるか

ビジネスの観点では、これは「安全と生産性の天秤」をユーザー側に渡す動きと言えます。機密情報を扱う部門では、Deep Researchやエージェントモードを切ってでも流出経路を塞ぐ価値があります。一方で、自動化や外部調査を業務の中核に据えているチームがLockdown Modeを常時オンにすると、得られていた効率の多くを失います。全社一律ではなく、扱うデータの機微さに応じて使い分けるのが現実解でしょう。

生成AIの利便性は、外部との接続を広げるほど高まります。だからこそ、その裏でデータ露出のリスクも比例して大きくなる、という指摘は今回の発表が改めて突きつけたものです。Lockdown Modeは銀の弾丸ではありませんが、「便利さを少し手放してでも守る」という選択肢を正式に用意した点に意味があります。エージェント活用が当たり前になるほど、こうした「切る勇気」を設計に織り込む発想が、開発・運用の両面で求められそうです。

参照: TechCrunch「OpenAI unveils Lockdown Mode to protect sensitive data from prompt injection attacks」 ／ OpenAI「Introducing Lockdown Mode and Elevated Risk labels in ChatGPT」 ／ Engadget「OpenAI rolls out a Lockdown Mode for extra protection against prompt injection attacks」 ／ OpenAI Help Center「Lockdown Mode」