OpenAIは6月5日(現地時間)、チャットボットサービスChatGPTに新機能「Lockdown Mode」を導入した。これは、プロンプトインジェクション攻撃による情報漏洩の最終段階を阻止することを目的としており、外部ネットワークへのリクエストを厳しく制限することで、機密データが攻撃者に転送されるのを防ぐ。この機能は、個人向けアカウントやセルフサービス型ビジネスアカウントに順次展開されており、安全な利用環境の提供を目指す。
サイバーセキュリティ研究者のサイモン・ウィリソン氏 (Simon Willison) のWeblogが報じたところによると、「Lockdown Mode」はChatGPTが処理するコンテンツにプロンプトインジェクション攻撃自体が出現するのを直接防ぐものではない。例えば、キャッシュされたウェブコンテンツやアップロードされたファイルに悪意のあるプロンプトインジェクションが含まれていた場合、チャットボットの応答挙動や情報の正確性に影響を及ぼす可能性は依然として残る。
ウィリソン氏は、大規模言語モデル (LLM) システムにおけるセキュリティリスクをLethal Trifecta (リーサル・トライフェクタ)という概念で説明している。これは「プライベートデータへのアクセス」「信頼できないコンテンツへの露出」「攻撃者へのデータ窃取・送信手段」の三つの要素が揃った場合に発生する深刻な脅威を指す。これらの要素が組み合わさることで、LLMは意図せず機密情報を漏洩させるリスクを抱えることになる。
「Lockdown Mode」は、この「Lethal Trifecta」の中でも、LLMシステムの有用性を損なわずに最も容易に対策可能とされる「データ窃取・送信手段」を直接的に制限することを目的としている。具体的には、外部のウェブサイトへのアクセスやAPIリクエストなど、LLMが外部ネットワークと通信する経路をブロックすることで、プロンプトインジェクションによって不正に引き出されたデータが攻撃者の元へ転送されるのを物理的に阻止する。これは、AIシステム自体が改ざんされたり、悪用されたりする可能性のある攻撃に対しても耐性を持つ、確定的メカニズムであると見られている。
OpenAIがこの機能を2月に発表して以来、段階的にFree、Go、Plus、Proといった個人アカウントに加え、セルフサービスで利用するChatGPT Businessアカウントにも展開が進められている。企業や個人ユーザーが機密情報を扱う機会が増える中で、LLMのセキュリティ強化は喫緊の課題となっている。
しかしながら、ウィリソン氏は「Lockdown Mode」の存在自体が、ChatGPTのデフォルト設定が、巧妙なデータ漏洩攻撃に対して十分な堅牢な保護を提供していないことを示唆していると指摘する。ユーザーが意識的にこのモードを有効にする必要があるということは、通常の利用環境がセキュリティ上の潜在的な脆弱性を抱えている可能性を示唆している。LLMがますます普及する中で、開発元は利便性とセキュリティのバランスをどのように取るべきか、引き続き模索が求められる状況である。
参考: Simon Willison’s Weblog (アーカイブ) — 2026年6月6日 08:56 (JST)