OpenAI lar selskaper låse ned ChatGPT mot prompt injection

OpenAI har gjort Lockdown Mode tilgjengelig for alle innloggede ChatGPT-brukere, på tvers av kontotyper og arbeidsområder. Funksjonen er frivillig, men retningen er ikke frivillig for virksomheter som bruker ChatGPT med interne dokumenter, kundedata eller lederinformasjon.

Lockdown Mode begrenser nettverksaktiverte funksjoner i ChatGPT. OpenAI oppgir at modusen kan stenge eller begrense live web browsing, deep research, agent mode, filnedlastinger og noe bildestøtte som bygger på webinnhold. Hensikten er å redusere risikoen for dataeksfiltrering etter prompt injection-angrep.

Det høres teknisk ut. I praksis handler det om noe enkelt: Når en AI-assistent kan lese en nettside, hente eksterne kilder, bruke verktøy og sende resultatet videre, har den også fått en form for nettverkstilgang. Da er det ikke lenger nok å si at ansatte må være forsiktige med hva de skriver inn. Virksomheten må styre hvilke AI-funksjoner som får brukes i hvilke arbeidsprosesser.

Prompt injection er angrepsformen der en modell får skjulte eller manipulerende instrukser gjennom data den leser. Det kan ligge i en nettside, et dokument, en e-post, en supporttråd eller en fil i et prosjekt. Modellen kan forsøkes lurt til å ignorere opprinnelige instrukser, hente mer informasjon enn brukeren mente å dele, eller sende informasjon ut via et verktøy. Når AI-systemet også har nettlesing, agentmodus eller nedlasting aktivert, blir angrepsflaten større.

Lockdown Mode løser ikke hele problemet. Det sier OpenAI heller ikke. Den kutter først og fremst mulige utveier. Det er en sperre mot enkelte typer nettverk og eksterne tjenester, ikke en garanti for at modellen aldri kan påvirkes av ondsinnet innhold. Derfor bør funksjonen forstås som et sikkerhetskontrollpunkt, ikke som en erstatning for dataklassifisering, tilgangsstyring og logging.

For CISO og CIO er nyheten viktig fordi den gjør et svakt punkt i enterprise-AI mer synlig. Bedrifter har brukt mye tid på om ansatte får bruke ChatGPT. Den neste diskusjonen er mer presis: Hvilke ChatGPT-funksjoner får brukes når innholdet er konfidensielt, regulert eller forretningskritisk?

En økonomiavdeling som ber ChatGPT analysere et internt budsjett, trenger ikke nødvendigvis live web. En jurist som kvalitetssikrer kontraktsspråk, trenger sjelden agentmodus. En utvikler som jobber med intern kode, bør ikke automatisk kombinere repo-kontekst, nettlesing og filnedlasting uten eksplisitt policy. Det er slike skiller Lockdown Mode gjør enklere å operasjonalisere.

OpenAI oppgir at personlige brukere kan slå på funksjonen under Settings > Security. For arbeidsområder kan administratorer konfigurere tilgang gjennom workspace-innstillinger og rollebasert tilgangskontroll. Det siste er den viktigste delen for virksomheter. Sikker AI-bruk blir ikke et spørsmål om én global av/på-knapp. Den må knyttes til rolle, dataklasse og arbeidsflyt.

Norske virksomheter bør lese dette som et modningssignal. AI-verktøy er i ferd med å få samme type styringsbehov som SaaS, nettlesere og integrasjonsplattformer. Verktøyene må inn i risikoregister, leverandørstyring, databehandlerkontroll og intern sikkerhetsarkitektur. Det holder ikke at ChatGPT ligger på en godkjent liste hvis web, filer, minne, agenter og koblinger står åpent på tvers av brukere.

Det praktiske tiltaket er å lage en enkel matrise. Del bruken inn i lav, middels og høy risiko. Lav risiko kan være åpne tekster, idéarbeid og generelle oppgaver. Middels risiko kan være interne dokumenter uten persondata eller forretningshemmeligheter. Høy risiko er kundedata, personalsaker, kildekode, sikkerhetshendelser, kontrakter, M&A, helse, finans og regulatorisk materiale. For den siste gruppen bør nettlesing, agentmodus og eksterne handlinger være av som standard.

Dette bør også påvirke innkjøp. Når leverandører selger AI-agenter, bør virksomheter spørre konkret: Kan nettverksadgang begrenses per rolle? Kan agentfunksjoner slås av for sensitive arbeidsområder? Finnes det revisjonslogger? Kan administratorer hindre filnedlasting eller eksterne kall? Hvordan håndteres prompt injection i dokumenter og nettsider agenten leser?

Lockdown Mode er derfor mindre en produktnyhet enn et skifte i språk. OpenAI sier i praksis at avanserte AI-funksjoner trenger egne sikkerhetsgrenser. Det er riktig. Når AI går fra chat til agent, må styringen flytte seg fra brukervaner til systemkontroller.

For styret er spørsmålet enkelt: Har virksomheten oversikt over hvilke AI-verktøy som kan hente informasjon fra nettet, lese interne data og utføre handlinger på vegne av ansatte? Hvis svaret er nei, er det et styringsproblem. Ikke fordi alle funksjonene er farlige, men fordi kombinasjonen av sensitive data og åpne verktøy er vanskelig å forsvare uten dokumenterte kontroller.

Neste steg bør være konkret. Kartlegg hvem som bruker ChatGPT og tilsvarende verktøy. Skru av agent- og webfunksjoner for høyrisikobruk der det ikke finnes tydelig behov. Bruk rollebasert styring der leverandøren tilbyr det. Test prompt injection mot egne arbeidsflyter. Og gjør dette før neste integrasjon rulles ut, ikke etter første hendelse.

Kilder og medier

Primærkilde: OpenAI Help, ChatGPT — Release Notes, https://help.openai.com/en/articles/6825453-chatgpt-release-notes. OpenAI oppgir at Lockdown Mode er tilgjengelig for alle innloggede brukere, og at funksjonen begrenser blant annet live web browsing, deep research, agent mode, filnedlastinger og noe webbasert bildestøtte.

Supplerende kilde: The Decoder, publisert 7. juni 2026, https://the-decoder.com/chatgpts-new-lockdown-mode-lets-you-disable-web-access-and-more-to-protect-sensitive-data-from-prompt-injection/.

Thumbnail: OpenAI Image 2 / hogby.ai.