AI-Papers
- Lockdown Modeはウェブ閲覧・画像取得・エージェントモード・Deep Researchを無効化し、プロンプトインジェクション攻撃のリスクを低減する
- ChatGPT Businessのセルフサービスアカウントが対象で、機密データを扱う組織や個人向けの機能として位置づけられている
- 完全な防止ではなくリスク軽減が目的であり、OpenAIはセキュリティと利便性のトレードオフを明示した設計思想を採っている
Lockdown Modeとは
OpenAIは2026年6月、AIエージェントを標的としたプロンプトインジェクション攻撃から機密データを守る新機能「Lockdown Mode」を発表しました。プロンプトインジェクションとは、悪意ある命令文をウェブページや外部コンテンツに埋め込み、AIに意図しない動作をさせる攻撃手法です。
AIエージェントの業務活用が拡大するにつれ、この攻撃の脅威は現実のものになっています。MetaのAIサポートエージェントが悪用されアカウント乗っ取りに使われた事例のように、外部データを参照するAIは悪意あるコンテンツを踏み台にされるリスクを常に抱えています。
機能制限と対象プラン
Lockdown Modeを有効にすると、以下の機能が自動的に無効化されます。
- ウェブブラウジング(キャッシュ済みコンテンツのみアクセス可)
- ウェブからの画像取得(画像生成は引き続き利用可)
- 詳細調査機能(Deep Research)
- エージェントモード全般
外部ウェブコンテンツへのアクセスを遮断することで、攻撃者が仕込んだ悪意ある命令文をAIが読み込む経路そのものを塞ぐ設計です。対象プランはChatGPT Businessのセルフサービスアカウントおよび特定の個人アカウントで、OpenAI自身が「全ユーザー向けではない」と明記しています。
攻撃リスクと限界
OpenAIはLockdown Modeが攻撃を完全に防ぐものではなく、リスクを低減する機能と位置づけています。外部コンテンツへのアクセスを禁止するとAIの情報収集能力も制限されるため、機密データを扱う用途に絞った選択的な利用が想定されています。
セキュリティの強化と利便性はトレードオフの関係にあります。Lockdown Modeは「安全を優先してできることを絞る」という設計思想を採っており、医療・法律・財務といった高感度な情報を処理するユースケースに向いています。
企業利用への影響
AIエージェントを業務フローに組み込む企業にとって、Lockdown Modeは実装レベルでのセキュリティ制御手段として機能します。システム管理者がポリシーとして設定できる可能性があり、情報セキュリティ部門がAI導入を承認する際の判断基準の一つになりえます。
OpenAIがこうした防御機能を公式の製品仕様として提供したことは、「AIのセキュリティは利用者が自己責任で担保する」という状況から「プラットフォームが仕組みとして提供する」方向への転換を示しています。競合プラットフォームやオープンソースコミュニティが同様の機能を実装するかどうかは、AIセキュリティの標準化を巡る議論を左右する可能性があります。
