OpenAI setter ChatGPT i låst modus mot prompt injection

OpenAI gjør prompt injection mindre teoretisk og mer operasjonelt. Selskapet ruller nå ut Lockdown Mode til personlige ChatGPT-kontoer og selvbetjente ChatGPT Business-kontoer. Funksjonen ble først introdusert for enterprise-planer, men utvidelsen gjør sikkerhetsmodusen relevant for langt flere ledere, utviklere og sikkerhetsteam.

Lockdown Mode er en frivillig innstilling for brukere og team som vil ha en mer konservativ ChatGPT-opplevelse når de arbeider med sensitiv informasjon eller tilkoblede funksjoner. Når modusen er aktiv, begrenser eller slår ChatGPT av flere funksjoner som kan koble modellen til weben eller eksterne tjenester. OpenAI nevner blant annet live webtilgang, bildestøtte i svar, Deep Research inkludert shopping research, Agent Mode, nettverkstilgang i Canvas, live connectors og filnedlastinger.

Dette er ikke en kosmetisk sikkerhetsbryter. Det er en erkjennelse av at agentiske og tilkoblede AI-systemer trenger egne driftsmodi for risikofylte arbeidsoppgaver. Når en modell kan lese filer, bruke nettverk, åpne webinnhold, koble seg til apper og produsere nedlastbare resultater, blir prompt injection en praktisk kanal for datalekkasje.

Hva OpenAI endrer

OpenAI beskriver Lockdown Mode som et deterministisk sikkerhetstiltak. Poenget er å redusere antall veier en angriper kan bruke til å få sensitiv informasjon ut av samtalen eller ut av tilkoblede apper. Et eksempel er web browsing. I Lockdown Mode begrenses browsing til cachet innhold, slik at live nettverksforespørsler ikke forlater OpenAIs kontrollerte nettverk. Funksjoner der OpenAI ikke kan gi sterke deterministiske garantier for datasikkerhet kan bli slått helt av.

For enterprise, edu, helse og lærere kan administratorer aktivere Lockdown Mode gjennom Workspace Settings ved å opprette en rolle. OpenAI skriver også at administratorer kan styre hvilke apper, og hvilke handlinger i appene, som fortsatt skal være tilgjengelige i Lockdown Mode. Det er viktig. Mange virksomheter kan ikke bare skru av alle integrasjoner. De må skille mellom høyrisiko-brukere, høyrisiko-oppgaver og nødvendige arbeidsflyter.

Samtidig standardiserer OpenAI nye "Elevated Risk"-etiketter for enkelte funksjoner i ChatGPT, ChatGPT Atlas og Codex. Etiketten skal varsle brukeren når en funksjon kan gi ekstra risiko. Eksempelet OpenAI bruker er Codex med nettverkstilgang, der utviklere kan gi kodeassistenten tilgang til weben for å slå opp dokumentasjon eller gjøre andre nettbaserte handlinger.

Hvorfor dette betyr noe

Prompt injection har lenge vært kjent blant sikkerhetsfolk. Det nye er at risikoen nå treffer vanlige arbeidsflyter i ledelse, økonomi, utvikling, jus, HR og kundedialog. En AI-assistent som bare svarer på tekst har én risikoprofil. En agent som leser dokumenter, henter webdata, bruker connectors og kan produsere filer har en annen.

OpenAIs tiltak viser at leverandørene beveger seg mot lagdelte kontrollmodeller. Det er bra, men det flytter også ansvar til kundene. Hvis funksjoner merkes med Elevated Risk, må virksomheten bestemme hvem som får bruke dem, i hvilke situasjoner, med hvilke data og med hvilken logging. Det er ikke nok å ha en AI-policy som sier at ansatte skal være forsiktige.

For norske CIO-er og CISO-er bør dette leses som et signal om ny standard for AI-drift. Tilstrekkelig kontroll handler ikke bare om om data brukes til trening. Det handler om hvilke verktøy modellen får bruke mens den arbeider, om den kan gjøre live kall mot eksterne tjenester, og om den kan flytte informasjon ut av en kontrollert kontekst.

Praktisk ledervinkel

Det første spørsmålet er tilgangsstyring. Hvem i virksomheten skal ha lov til å bruke AI med live web, connectors, filnedlasting og agentmodus når de jobber med sensitiv informasjon? Svaret bør ikke være likt for alle ansatte. Toppledelse, sikkerhetsteam, utviklere med produksjonstilgang, jurister og HR kan ha behov for strengere standardinnstillinger enn resten av organisasjonen.

Det andre spørsmålet er arbeidsmodus. En bruker kan trenge full funksjonalitet i én oppgave og låst modus i en annen. Dette ligner mer på privileged access management enn på vanlig programvareinnstilling. Brukeren bør kunne gå inn i en mer begrenset modus når konteksten er sensitiv, uten å måtte bytte verktøy eller vente på en IT-sak.

Det tredje spørsmålet er revisjon. OpenAI peker på Compliance API Logs Platform som et separat tiltak for innsyn i appbruk, delte data og tilkoblede kilder. Det peker i riktig retning. Hvis AI-agenter får gjøre mer på vegne av ansatte, må virksomheten kunne ettergå hvilke kilder agenten brukte, hvilke data som ble sendt hvor, hvilke filer som ble generert, og hvilke innstillinger som var aktive.

Ikke en sluttstrek

Lockdown Mode fjerner ikke prompt injection som klasse. OpenAI sier selv at enkelte nettverksrelaterte funksjoner fortsatt introduserer risiko som bransjen ikke fullt ut har mitigert. Derfor er Elevated Risk-merking nyttig. Den gjør risikoen synlig i produktet, ikke bare i en sikkerhetsrapport.

Men merking kan også bli en sovepute. Hvis brukeren bare klikker videre, har virksomheten ikke styring. Etikettene må kobles til policy, opplæring, standardroller og tekniske begrensninger. Ellers blir dette samme mønster som med nettleservarsler og OAuth-samtykker: alle ser advarselen, ingen leser den.

Den viktigste konsekvensen er at AI-sikkerhet må inn i IAM, dataklassifisering og endringskontroll. Når leverandøren tilbyr låst modus og risikomerking, bør virksomheten bruke det som grunnlag for egne kontrollkrav. Høyrisikobrukere bør ha strengere standard, sensitive arbeidsflyter bør dokumenteres, og agentfunksjoner bør ikke aktiveres bredt før logging og hendelseshåndtering er på plass.

OpenAI har ikke løst prompt injection. De har gjort risikoen mer styrbar. For ledere er det nok til å handle.

Kilder og medier

Primærkilde: OpenAI, "Introducing Lockdown Mode and Elevated Risk labels in ChatGPT". Source: https://openai.com/index/introducing-lockdown-mode-and-elevated-risk-labels-in-chatgpt/

Kildekreditering: OpenAI. Thumbnail: OpenAI Image 2 / hogby.ai