ChatGPT ganha modo de segurança
A OpenAI lançou o Lockdown Mode, um novo modo de segurança para o ChatGPT que desativa recursos capazes de vazar dados sensíveis em ataques de prompt injection. O recurso desabilita navegação web ao vivo, exibição de imagens externas, downloads de arquivos e execução de código em rede. O objetivo não é impedir que injeções de prompt ocorram — é impedir que dados confidenciais saiam do ChatGPT por canais controlados pelo atacante. O modo está disponível para contas pessoais (Free, Go, Plus, Pro) e planos Business self-serve.
Pontos-chave
- Lockdown Mode desativa navegação ao vivo, imagens externas, downloads e Canvas networking no ChatGPT
- Protege contra exfiltração de dados via prompt injection — o principal vetor de ataque contra LLMs
- Disponível para todas as contas pagas e gratuitas logadas, segundo a The Hacker News
- OpenAI também adicionou “Elevated Risk labels” e gerenciamento de sessões ativas
- Modo não garante proteção total — a própria OpenAI reconhece que riscos permanecem
Como funciona o Lockdown Mode
O Lockdown Mode atua como uma camada adicional de sandboxing sobre o ChatGPT. Quando ativado, ele desabilita deterministicamente ferramentas e capacidades que poderiam ser usadas para exfiltrar dados. A tabela abaixo resume o impacto:
| Recurso | Com Lockdown Mode | Sem Lockdown Mode |
|---|---|---|
| Navegação web ao vivo | Limitado a cache | Acesso completo |
| Exibição de imagens externas | Bloqueado | Habilitado |
| Geração de imagens | Habilitado | Habilitado |
| Canvas networking | Bloqueado | Requer aprovação |
| Downloads de arquivos | Bloqueado | Habilitado |
| Deep research | Desabilitado | Habilitado |
| Agent mode | Desabilitado | Habilitado |
Segundo a TechCrunch, a OpenAI deixa claro que o modo “não é destinado a todos”. É projetado para pessoas e organizações que lidam com dados sensíveis e querem proteção mais rígida contra riscos de exfiltração relacionados a prompt injection.
O problema: prompt injection
Prompt injection é o vetor de ataque mais persistente contra modelos de linguagem. Funciona assim: um atacante esconde instruções maliciosas em conteúdo que o ChatGPT lê — uma página web, um documento carregado, um email. Quando o modelo processa esse conteúdo, ele pode seguir as instruções ocultas como se fossem comandos legítimos do usuário.
O cenário de ataque mais perigoso é a exfiltração de dados. Imagine que um usuário carregue um documento confidencial no ChatGPT e peça um resumo. Se o documento contiver um prompt injection oculto, o modelo pode ser instruído a enviar o conteúdo desse documento para um servidor controlado pelo atacante via uma requisição web — algo que a navegação ao vivo do ChatGPT torna possível.
A OpenAI descreve o prompt injection como um problema de “fronteira” que afeta todos os grandes modelos de linguagem. O Lockdown Mode não tenta resolver a injeção em si — ele bloqueia o último elo da cadeia: a tentativa de enviar dados para fora por requisições de rede.
O que o modo NÃO protege
A OpenAI é explícita sobre as limitações. Em sua documentação, a empresa afirma que “o Lockdown Mode é projetado para reduzir substancialmente o risco de exfiltração de dados, mas não garante que a exfiltração não possa acontecer”. Os riscos residuais incluem:
- Apps habilitados: plugins e integrações de terceiros podem manter suas próprias vias de acesso à rede.
- Combinações inesperadas: a interação entre funcionalidades ainda habilitadas pode criar vetores não previstos.
- Técnicas recém-descobertas: métodos de ataque novos podem contornar as proteções atuais.
Além disso, o Lockdown Mode não impede outros efeitos do prompt injection. Uma instrução maliciosa oculta em um arquivo carregado ainda pode afetar o comportamento do ChatGPT e gerar respostas incorretas. O modo impede que dados saiam — mas não impede que o modelo seja manipulado internamente.
O Lockdown Mode e o Developer Mode não podem ser usados simultaneamente. Ativar um desativa o outro, o que faz sentido: o Developer Mode dá mais acesso ao modelo, enquanto o Lockdown Mode restringe.
Gerenciamento de sessões e alertas
Junto com o Lockdown Mode, a OpenAI lançou dois recursos adicionais de segurança. O primeiro é o gerenciamento de sessões ativas: os usuários agora podem revisar todas as sessões do ChatGPT abertas em seus dispositivos e encerrar sessões individuais ou todas de uma vez. As informações incluem o dispositivo usado, o aplicativo, a localização aproximada, data e hora do login, se o dispositivo é confiável e se é a sessão atual.
O segundo recurso são os “Elevated Risk labels” — etiquetas que alertam o usuário quando uma ação ou interação é identificada como de risco elevado. A OpenAI não detalhou os critérios exatos de classificação, mas o conceito é straightforward: se o sistema detectar que uma conversa pode estar sendo manipulada por prompt injection, um alerta é exibido.
Essas mudanças indicam que a OpenAI está tratando a segurança do ChatGPT de forma mais séria do que no passado. O gerenciamento de sessões, em particular, é uma funcionalidade básica de segurança que faltava ao produto — e que concorrentes como o Google já ofereciam há mais tempo.
Contexto: ataques via IA aceleram
O lançamento do Lockdown Mode não acontece no vácuo. Nos últimos meses, uma série de ataques explorou LLMs como superfície de ataque. O The Hacker News listou vários casos recentes: o ChatGPhish, uma vulnerabilidade que transforma resumos web do ChatGPT em superfície de phishing (já coberto por nós); ataques usando agentes LLM para pós-exploração após explorar o CVE-2026-39987 do Marimo; e pacotes npm maliciosos que roubaram arquivos do diretório de usuários do Claude AI. Outro caso recente mostrou que o ChatGPT pode servir páginas falsas para instalar malware nos usuários.
Para usuários brasileiros, o risco é relevante em dois cenários principais. O primeiro é corporativo: empresas que usam ChatGPT Business para processar dados de clientes, documentos jurídicos ou informações financeiras estão particularmente expostas. O segundo é individual: profissionais que carregam currículos, contratos e dados pessoais no ChatGPT para análise.
A recomendação prática é direta. Se você usa o ChatGPT para processar dados sensíveis, ative o Lockdown Mode nas configurações da conta. Não é uma solução perfeita, mas reduz drasticamente a superfície de exfiltração. Para equipes de segurança, monitore quais usuários estão usando o ChatGPT com dados corporativos e garanta que o Lockdown Mode esteja ativo nessas contas.