O que é o Lockdown Mode
Em junho de 2026, a OpenAI começou a disponibilizar o Lockdown Mode para todos os usuários do ChatGPT, incluindo contas gratuitas. Trata-se de uma configuração opcional de segurança que restringe as funções do chatbot para impedir que dados sensíveis sejam roubados por ataques de prompt injection. O recurso já existia desde fevereiro para clientes corporativos, mas agora foi expandido para todos os planos — Free, Go, Plus, Pro e Business (OpenAI, 2026).
Em termos práticos, o modo não impede que instruções maliciosas entrem no sistema. Ele corta as rotas de saída: bloqueia requisições de rede que poderiam transmitir informações confidenciais para servidores externos. É como trancar as portas de um prédio depois que o intruso já entrou — ele pode estar lá dentro, mas não consegue sair com o que roubou (OpenAI Help Center).
Como funciona a proteção
O mecanismo central do Lockdown Mode atua de forma determinística, ou seja, não depende de avaliação da própria IA. Quando ativado, o sistema impõe restrições no nível da infraestrutura, não no modelo de linguagem. Isso é crucial: como o próprio Simon Willison, especialista em segurança de IA, observou, a solução “usa mecanismos determinísticos que não são avaliados por sistemas de IA que podem ser subvertidos por ataques suficientemente engenhosos” (Willison, 2026).
A lógica segue o conceito que Willison chama de Trifecta Letal: para que um ataque de exfiltração funcione, três condições precisam coexistir — acesso a dados privados, exposição a conteúdo não confiável e uma via de transmissão para o atacante. O Lockdown Mode corta justamente essa terceira perna (Willison, 2026).
O que fica desativado
Ativar o Lockdown Mode tem consequências reais na experiência de uso. Segundo a OpenAI e o TechCrunch, estas são as funcionalidades afetadas (TechCrunch, 2026):
- Navegação ao vivo: restrita a conteúdo em cache. O ChatGPT não faz novas requisições de rede.
- Deep Research: desativado completamente, incluindo pesquisa de compras.
- Agent Mode: desativado. O chatbot não pode tomar ações autônomas de múltiplos passos.
- Código em Canvas: não pode acessar a rede.
- Recuperação de imagens: o ChatGPT não busca nem exibe imagens da web (mas ainda gera imagens).
- Download de arquivos: o sistema não baixa arquivos para análise, embora uploads manuais continuem funcionando.
A OpenAI deixa claro que memória, uploads de arquivos e compartilhamento de conversas não são afetados (Engadget, 2026).
Ameaça real: injeção de prompt
Prompt injection é essencialmente engenharia social aplicada à IA. Um atacante esconde instruções maliciosas dentro de uma página web, PDF, e-mail ou entrada de banco de dados — usando técnicas como texto com fonte tamanho zero ou caracteres Unicode invisíveis. Quando o chatbot lê esse conteúdo, executa os comandos ocultos sem que o usuário perceba (PurpleSec, 2026).
O problema é que modelos de linguagem não distinguem entre instruções legítimas e comandos injetados. Tudo é processado como texto. Essa vulnerabilidade faz parte de um cenário maior de riscos de segurança que a IA traz para organizações. Em janeiro de 2026, três vulnerabilidades de prompt injection foram descobertas no servidor oficial Git MCP da Anthropic (CVE-2025-68143, CVE-2025-68144, CVE-2025-68145). Um atacante só precisava influenciar o que a IA lia — um README malicioso bastava (Cyber Desserts, 2026).
Casos como o ForcedLeak da Salesforce mostraram como ataques assim podem extrair dados reais de clientes através de formulários web. E em junho de 2025, uma vulnerabilidade crítica (CVSS 9.6) no GitHub Copilot Chat permitiu a exfiltração silenciosa de segredos e código-fonte de repositórios privados (MDPI Information, 2026).
O trio letal da segurança
O conceito de Lethal Trifecta, popularizado por Simon Willison, ajuda a entender por que o Lockdown Mode é significativo. Para que dados sejam roubados via prompt injection, três elementos precisam estar presentes simultaneamente:
| Elemento | Descrição | Exemplo |
|---|---|---|
| Acesso a dados privados | A IA pode ler informações sensíveis | E-mails, documentos, APIs internas |
| Exposição a conteúdo não confiável | A IA processa fontes externas | Páginas web, PDFs, feeds de dados |
| Via de exfiltração | A IA pode enviar dados para fora | Requisições de rede, URLs, APIs |
A solução mais eficaz não é tentar impedir que o atacante entre — é cortar a saída. O Lockdown Mode faz exatamente isso ao restringir requisições de rede de saída (Willison, 2026). A implicação, no entanto, é preocupante: nas configurações padrão do ChatGPT, a proteção contra exfiltração determinada não é robusta o suficiente.
Etiquetas de risco elevado
Junto com o Lockdown Mode, a OpenAI está padronizando etiquetas “Elevated Risk” (Risco Elevado) em todo o ChatGPT, ChatGPT Atlas e Codex. Esses rótulos aparecem automaticamente antes de o usuário usar uma funcionalidade que carrega exposição adicional de segurança — como clicar em um link externo ou conceder acesso de rede a uma ferramenta (OpenTools, 2026).
No Codex, por exemplo, conceder acesso à rede agora vem com um aviso explícito sobre o que muda em termos de segurança. A OpenAI diz que removerá o rótulo de um recurso quando conseguir endurecer sua segurança o suficiente para que o aviso não seja mais necessário (AI Career Lab, 2026).
Quem precisa ativar
A OpenAI é enfática: Lockdown Mode não é para todos. Segundo Dane Stuckey, CISO da OpenAI, o recurso é “para pessoas com perfil de risco elevado — devido a quem são, no que trabalham ou nos tipos de dados que manuseiam” (Willison, 2026).
Na prática, o público-alvo inclui:
- Executivos e líderes que lidam com estratégia confidencial
- Profissionais de segurança que pesquisam ameaças
- Advogados e consultores que processam dados de clientes
- Pesquisadores que trabalham com informações proprietárias
- Qualquer pessoa que use o ChatGPT com documentos sensíveis no dia a dia
Para ativar, basta acessar Settings → Safety and security → Advanced security → Lockdown Mode. É possível desativar temporariamente para conversas específicas, selecionando “Manage” na mensagem de status acima da janela de chat (Engadget, 2026). A OpenAI também lançou um gerenciador de sessões ativas que permite ver todos os dispositivos conectados à conta e encerrar sessões individualmente ou todas de uma vez.
O que o modo não protege
É fundamental entender as limitações. O Lockdown Mode é contenção, não prevenção. Instruções maliciosas ainda podem aparecer em conteúdo em cache da web ou em arquivos carregados manualmente, afetando o comportamento e a precisão das respostas (OpenAI, 2026).
Apps conectados — incluindo servidores MCP e integrações de terceiros — representam uma superfície de ataque separada que o Lockdown Mode não aborda diretamente. A OpenAI classifica ações de apps por nível de risco: leitura em apps confiáveis é “risco médio”, enquanto ações de escrita são consideradas de risco mais alto por criarem efeitos observáveis (OpenTools, 2026).
O Codex, o agente de código da OpenAI, opera sob controles diferentes e não é coberto pelo Lockdown Mode. Para quem constrói sobre a plataforma com dados sensíveis, o modo é uma camada útil — mas não uma solução de segurança completa.
O contexto maior: agentes e autonomia
O lançamento do Lockdown Mode reflete uma tensão crescente na indústria de IA. As funcionalidades mais poderosas — navegação web, autonomia de agentes, execução de código — são também as mais perigosas quando exploradas. Em maio de 2026, hackers demonstraram como era possível sequestrar contas do Instagram enganando o chatbot de suporte da Meta AI, que concedeu acesso não autorizado (TechCrunch, 2026).
À medida que agentes de IA se tornam mais autônomos — com o Codex da OpenAI navegando na web e executando código, e o Claude da Anthropic operando entre arquivos e terminais —, a superfície de ataque se expande drasticamente. A OpenAI já havia dado sinais nessa direção quando adotou o SynthID do Google para marcação de conteúdo gerado por IA. Prompt injection deixa de ser preocupação acadêmica e vira vetor real de ataque.
A mensagem da OpenAI com o Lockdown Mode é honesta: as proteções padrão não são suficientes para todos. Quem lida com informações sensíveis precisa de uma camada extra, mesmo que isso signifique abrir mão de funcionalidades. É um reconhecimento raro em uma indústria que costuma prometer segurança automática.
Perguntas frequentes
Lockdown Mode desativa o ChatGPT completamente?
Não. O chatbot continua funcionando para conversas, geração de imagens, análise de arquivos carregados manualmente e uso da memória. O que muda são as funcionalidades que envolvem acesso externo à rede — navegação ao vivo, Deep Research, Agent Mode e download automático de arquivos.
Usuários do plano gratuito têm acesso?
Sim. O Lockdown Mode está disponível para todos os planos pessoais — Free, Go, Plus e Pro — além de contas Business autosserviço. A ativação é feita em Settings → Safety and security → Advanced security → Lockdown Mode.
Prompt injection pode roubar dados mesmo com o modo ativado?
O Lockdown Mode bloqueia a exfiltração, não a injeção. Instruções maliciosas ainda podem aparecer em conteúdo em cache ou arquivos carregados, alterando o comportamento do chatbot. O modo impede que dados sejam enviados para fora, mas não garante que as respostas estejam livres de influência externa.
Referências
- OpenAI — Introducing Lockdown Mode and Elevated Risk labels in ChatGPT
- OpenAI Help Center — Lockdown Mode
- TechCrunch — OpenAI unveils Lockdown Mode to protect sensitive data from prompt injection attacks
- Engadget — OpenAI rolls out a Lockdown Mode for extra protection against prompt injection attacks
- Simon Willison — OpenAI Help: Lockdown Mode
- OpenTools — OpenAI’s Lockdown Mode Locks Down ChatGPT Against Prompt Injection Attacks
- PurpleSec — Data Exfiltration Via AI Prompt Injection
- Cyber Desserts — Prompt Injection Attacks: Examples, Techniques, and Defence