OpenAI lança Lockdown Mode e Elevated Risk no ChatGPT

Introdução

Lockdown Mode chega ao ChatGPT como a resposta mais direta da OpenAI ao crescimento dos ataques de prompt injection, com foco em usuários e equipes sob maior risco. O recurso restringe de forma determinística como o ChatGPT interage com sistemas externos, reduzindo superfícies de exfiltração de dados, e vem acompanhado de rótulos Elevated Risk padronizados para capacidades de maior exposição.

A novidade foi anunciada em 13 de fevereiro de 2026 e integra um conjunto de proteções em níveis de modelo, produto e sistema. A OpenAI afirma que, em Lockdown Mode, recursos como navegação ficam limitados a conteúdo em cache dentro da rede controlada, sem requisições externas em tempo real, e algumas funções são desativadas quando não é possível garantir segurança de dados com alto grau de determinismo.

O que muda com o Lockdown Mode

Lockdown Mode é uma configuração opcional e avançada destinada a perfis de maior risco, como executivos e times de segurança em organizações proeminentes. A proposta é simples e prática: reduzir vetores de prompt injection e evitar exfiltração por meio do bloqueio seletivo de ferramentas e da limitação de acessos de rede. A navegação passa a buscar apenas conteúdo em cache sob controle da OpenAI, nenhuma chamada externa sai da rede, e funcionalidades sem garantias determinísticas ficam indisponíveis.

O modo já está disponível nos planos empresariais e educacionais, incluindo ChatGPT Enterprise, ChatGPT Edu, ChatGPT for Healthcare e ChatGPT for Teachers. Admins podem habilitar nas Workspace Settings criando uma role específica, o que adiciona camadas extras às políticas já definidas. A OpenAI também sinaliza planos de levar o Lockdown Mode ao consumidor nos próximos meses.

Na prática, isso facilita segregar usuários sensíveis sem paralisar o restante do negócio. Defendo que equipes de risco elevado adotem o Lockdown Mode como padrão, enquanto funções generalistas podem operar com políticas graduais. O ganho real está na previsibilidade das superfícies expostas e na redução de caminhos de saída de dados.

![Laptop com ícone de cadeado em tela, conceito de segurança]

Elevated Risk, o que significam os novos rótulos

Os rótulos Elevated Risk padronizam avisos sobre um conjunto curto de capacidades que podem introduzir risco adicional, especialmente quando há acesso à rede ou integração com apps. A OpenAI vai usar a mesma sinalização no ChatGPT, no ChatGPT Atlas e no Codex, com explicações claras do que muda, quais riscos existem e quando o uso é apropriado. Isso já aparece, por exemplo, nas configurações do Codex quando o desenvolvedor concede acesso de rede.

Rótulos consistentes reduzem ambiguidade para gestores de risco e ajudam usuários finais a decidir conscientemente quando habilitar uma função conectada. Em termos de governança, isso apoia auditorias e facilita aplicar políticas diferenciadas por contexto, projeto e sensibilidade do dado.

Por que o alvo é o prompt injection

Prompt injection é classificado como LLM01 no OWASP Top 10 para aplicações com modelos de linguagem, ocupando o primeiro lugar por impacto, explorabilidade e prevalência. O ataque manipula o modelo via instruções maliciosas, diretas ou escondidas em conteúdo externo, o que pode levar a vazamentos de dados, execução de ações indesejadas e comprometimento de decisões.

A comunidade de segurança vem mapeando variações do ataque em rápida evolução. Um trabalho de referência recente cataloga mais de 185 técnicas em múltiplos vetores, reforçando a necessidade de controles determinísticos e políticas finas de permissão.

Lockdown Mode mira esse ponto fraco ao cortar, por padrão, rotas de saída que um atacante tentaria acionar por meio de instruções injetadas, como callbacks de rede e integrações não essenciais. O resultado é reduzir a capacidade de o prompt injection transformar o ChatGPT em um proxy para exfiltração.

![Diagrama conceitual de prompt injection]

Como ativar e administrar em ambientes corporativos

Segundo a OpenAI, o Lockdown Mode pode ser habilitado por administradores nas configurações do Workspace, por meio de uma role dedicada. Além disso, os admins mantêm controles granulares para definir quais apps e quais ações específicas permanecem disponíveis quando o Lockdown Mode está ativo, o que permite preservar fluxos críticos com risco controlado.

Para governança e auditoria, a OpenAI consolidou em dezembro de 2025 o Compliance API no Compliance Logs Platform, que entrega logs imutáveis em janelas de tempo, com novas categorias como Admin Audit, User Authentication e Codex Usage. Esse contexto é útil para cruzar quem habilitou o quê, quando, e com quais dados, oferecendo trilha de auditoria unificada.

Recomendações práticas de implementação por fase:

• Piloto controlado. Habilitar Lockdown Mode primeiro para perfis executivos, jurídico e segurança, medindo impacto em fluxos essenciais. Alinhar expectativas com as áreas de negócio e definir métricas de sucesso.
• Catálogo de apps e ações. Mapear integrações de alto valor e aprovar explicitamente apenas o mínimo necessário no Lockdown Mode. Revisitar permissões por ação, não só por app.
• Políticas de rótulos Elevated Risk. Exigir justificativa e aceite de risco para habilitar capacidades marcadas como Elevated Risk. Documentar duração, escopo e dados envolvidos.
• Telemetria e auditoria. Ingerir os logs do Compliance Logs Platform no SIEM. Criar detecções para mudanças de role, tentativas de uso de funções bloqueadas e anomalias de fluxo.
• Revisões trimestrais. Reavaliar apps permitidos e necessidade de manter Lockdown Mode para cada grupo. Ajustar com base em incidentes e em novos recursos mitigadores.

O lugar do Lockdown Mode na estratégia de segurança

Lockdown Mode complementa políticas de segurança já disponíveis nos planos corporativos do ChatGPT, como controles de acesso por função e auditoria, ao oferecer uma camada de redução de ataque intrínseca ao produto. A padronização do rótulo Elevated Risk também atua como barreira cognitiva, reduzindo habilitações irrefletidas em recursos conectados à rede.

No ecossistema mais amplo, gigantes como a Microsoft adicionaram mecanismos para conter shadow AI e vazamento de dados para apps de IA, incluindo filtros de categoria web no Entra e DLP de navegador no Edge para bloquear o envio de dados sensíveis a apps como ChatGPT, Copilot, DeepSeek e Google Gemini. O recado do mercado é claro, restringir superfície e aplicar políticas de mínimo privilégio é inevitável para IA generativa em produção.

Há também uma tendência técnica em direção a seguranças mais determinísticas para agentes de IA. Pesquisas recentes propõem camadas de confiança com autenticação de ferramentas, dados e contexto, combinando controles criptográficos e políticas de tempo de execução, o que dialoga com a ideia de reduzir canais de exfiltração em Lockdown Mode.

Impactos para times de produto, dados e engenharia

• Produto. O Lockdown Mode exige pensar em experiência de usuário sob restrição. Fluxos que dependem de navegação viva ou automação ampla podem precisar de alternativas, como aprovações humanas ou execução assíncrona.
• Dados. A classificação e a segmentação de dados tornam-se mais relevantes. Orquestre fontes e escopos por projeto, e associe permissões de app e ação a níveis de dados.
• Engenharia. Trate o Lockdown Mode como um ambiente com políticas rígidas. Integrações devem falhar de modo seguro, e as mensagens de erro precisam ser claras para evitar contornos improvisados que reabram riscos.

O que observar nos próximos meses

A OpenAI indica que expandirá o Lockdown Mode para consumidores. A evolução provável inclui novas capacidades passando a receber o rótulo Elevated Risk ou perdendo o rótulo conforme mitigadores amadureçam. A orientação é acompanhar as notas de produto e revisar periodicamente as políticas de habilitação.

Em paralelo, a discussão pública sobre riscos de agentes de IA deve continuar. Em 2025, relatos já destacavam riscos elevados em agentes com maior autonomia, inclusive para biopreparo, reforçando a importância de rótulos de risco e de salvaguardas operacionais antes de expor funcionalidades avançadas a dados privados.

Boas práticas para capturar valor com segurança

• Mínimo privilégio por padrão. Conceder apenas as ações e apps indispensáveis no Lockdown Mode e revisar permissões por tarefa, não por time.
• Separação de ambientes. Manter workspaces distintos para desenvolvimento, validação e produção, com níveis de Lockdown diferentes.
• Monitoramento orientado a decisão. Mais que coletar logs, defina decisões automatizadas, como bloquear tentativas repetidas de acessar funções desativadas e abrir tíquetes para revisão.
• Educação contínua. Explicar de forma objetiva o que significam os rótulos Elevated Risk. Adoção saudável nasce de consciência, não de imposição.
• Testes de segurança específicos para LLM. Validar contra LLM01 a LLM10 do OWASP, com casos que incluam injeção indireta via RAG, para não subestimar o risco prático.

Conclusão

Lockdown Mode e os rótulos Elevated Risk alinham o ChatGPT ao que líderes de segurança esperam de produtos críticos, controle determinístico do que pode sair para a rede, visibilidade operacional e comunicação transparente de risco. A combinação reduz vetores de exfiltração por prompt injection e apoia decisões informadas quando o uso de capacidades conectadas é essencial.

Para organizações que desejam extrair valor de IA com dados sensíveis, a recomendação é clara, habilitar Lockdown Mode para perfis críticos, padronizar políticas para recursos com Elevated Risk e ancorar governança em logs e revisões periódicas. A maturidade virá de ciclos curtos de melhoria, apoiados por métricas, auditoria e educação dos usuários.