OpenAI ha avviato il rollout di Lockdown Mode per ChatGPT il 7-8 giugno 2026. È una modalità di sicurezza opzionale che limita il browsing live, Deep Research, Agent Mode e altre funzionalità connesse alla rete. L'obiettivo è ridurre il rischio che un attacco di prompt injection porti all'esfiltrazione di dati sensibili. OpenAI la presenta come necessaria per chi gestisce informazioni sensibili, non come misura obbligatoria per tutti.
- Lockdown Mode è opzionale, disponibile dal 7-8 giugno 2026 per account personali (Free, Go, Plus, Pro) e ChatGPT Business self-serve.
- Limita le richieste di rete in uscita per interrompere la fase finale dell'attacco di prompt injection: il trasferimento dati verso server esterni.
- Non previene che il modello venga influenzato da istruzioni malevole in contenuti processati o file caricati.
- Funzionalità disabilitate: web browsing live (solo cache), supporto immagini da web, Deep Research, Agent Mode, Canvas networking, download file per data analysis.
- Funzionalità invariate: memoria, caricamento file, condivisione conversazioni, uso per training modelli.
- Lockdown Mode e Developer Mode sono mutuamente esclusivi; Codex non è influenzato da questa protezione.
Il meccanismo: limitare l'uscita per bloccare l'esfiltrazione
Lockdown Mode applica un principio di controllo del canale di comunicazione in uscita. Invece di filtrare input semantici complessi per individuare prompt injection, OpenAI agisce sullo stadio finale dell'attacco.
La fonte documenta il meccanismo con precisione: "designed to reduce the risk of data exfiltration from prompt injection attacks by limiting outbound network requests, at the expense of disabling or limiting some useful features". Il modello può ancora ricevere e processare contenuti compromessi, inclusi file caricati con istruzioni nascoste, ma non può più inviare dati a server esterni.
Il browsing web, quando attivo, accede solo a contenuti in cache; le ricerche possono risultare limitate, non disponibili o obsolete. Questo compromesso è esplicito: prevenire l'esfiltrazione richiede ridurre la superficie di attacco costituita dalle connessioni live.
La tensione con l'agentic AI: autonomia e rischio
L'elemento più rilevante del provvedimento è strategico. OpenAI ha collocato fuori dalla protezione massima funzionalità centrali del proprio roadmap: Deep Research, che esegue ricerche multi-step autonome, e Agent Mode, che opera per conto dell'utente su strumenti esterni. La fonte lo registra senza attenuazioni: queste capacità vengono disabilitate, non mitigate.
Questa segmentazione rivela una tensione strutturale. L'autonomia richiesta per compiti agentic — pianificazione, chiamata API iterativa, scrittura su servizi connessi — coincide con i vettori di esfiltrazione che Lockdown Mode deve bloccare. Questa lettura è dell'autore: OpenAI non ha dichiarato di aver scelto di "separare anziché integrare", ma il risultato funzionale è che le funzionalità agentic più avanzate non sono disponibili sotto questa protezione.
Il percorso di attivazione, confermato da più fonti, passa attraverso Security > Advanced Security. Per i workspace gestiti, gli amministratori controllano app, MCP e connettori tramite permessi basati su ruoli. I connettori con dati sincronizzati funzionano, ma l'accesso live e le azioni di scrittura sono bloccati. Gli utenti Business self-serve devono valutare il rischio per ogni app abilitata, con visibilità fornita dalla Compliance API Logs Platform su uso, dati condivisi e fonti connesse.
I limiti dichiarati: nessuna garanzia di immunità
"Lockdown Mode is designed to substantially reduce the risk of prompt injection-based data exfiltration... but it does not guarantee that data exfiltration cannot happen"
OpenAI, riportata da The Hacker News, elenca tre vettori residui: app abilitate, combinazioni impreviste di capacità, tecniche non ancora scoperte. Il dossier non documenta metriche di efficacia né storie di attacchi bloccati. L'assenza di CVE associata, non menzionata nelle fonti, conferma che il provvedimento è architetturale piuttosto che risposta a vulnerabilità catalogata.
La fonte giapponese Gigazine — che utilizza traduzione automatica dichiarata — aggiunge che il rollout avviene "gradualmente", senza data di completamento comunicata. Il prompt injection, specifica HWUpgrade citando OpenAI, "non è una minaccia diffusa oggi per la maggior parte degli utenti". Questo rende Lockdown Mode una misura preventiva orientata all'enterprise, non una risposta a un'emergenza in corso.
Non emergono nel dossier dettagli tecnici del meccanismo di sandboxing implementato, né impatti misurati su performance o latenza. L'eccezione Codex — esplicitamente esclusa dalla protezione — suggerisce che OpenAI gestisce autonomamente la sicurezza dei propri sistemi di sviluppo con criteri distinti da quelli offerti agli utenti finali.
Contesto threat landscape
Il 32% di aumento relativo dell'attività malevola di indirect prompt injection tra novembre 2025 e febbraio 2026, rilevato da Google, fornisce contesto sulla crescita della minaccia nel threat landscape generale. Questo dato non è direttamente collegato a Lockdown Mode — che non emerge nelle ricerche di Google — ma inquadra la rilevanza della categoria di rischio che OpenAI ha scelto di affrontare.
Cosa fare adesso
Sulla base delle funzionalità descritte:
- Verificare la disponibilità dell'opzione Lockdown Mode nel percorso Security > Advanced Security, dato il rollout graduale senza data di completamento annunciata.
- Valutare esplicitamente, per ogni app o connettore abilitato, il rischio di esfiltrazione dati prima di mantenerlo attivo sotto Lockdown Mode, come indicato da OpenAI.
- Per workspace gestiti, rivedere i permessi basati su ruolo per app, MCP e connettori; utilizzare la Compliance API Logs Platform per audit su uso, dati condivisi e fonti connesse.
- Non attivare Lockdown Mode se si dipende da Deep Research, Agent Mode o browsing live: sono funzionalità disabilitate, non degradata.
Chiusura editoriale
Lockdown Mode è una misura opzionale e di nicchia, non una minaccia diffusa per la maggior parte degli utenti — come precisa OpenAI stessa. Chi non gestisce dati sensibili o non opera in ambienti enterprise non ha necessità immediata di attivarla. Il trade-off è funzionale, non qualitativo: meno connessioni live in cambio di meno superficie di esfiltrazione. Per chi ha bisogno di entrambe le cose — protezione e agentic AI avanzata — il dossier non offre soluzione integrata.
Nota sulle fonti: le informazioni sono verificate sulle fonti citate, che sono editoriali specializzate e non advisory vendor primario. Gigazine utilizza traduzione automatica dichiarata, con possibili imprecisioni sintattiche.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/06/08/openai-lockdown-mode-available/
- https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.html
- https://www.hwupgrade.it/news/web/lockdown-mode-cambia-il-volto-di-chatgpt-piu-privacy-meno-liberta-operativa_154476.html
- https://gigazine.net/gsc_news/en/20260607-openai-lockdown-mode/
- https://www.helpnetsecurity.com/2026/04/24/indirect-prompt-injection-in-the-wild/
- https://thehackernews.com/2026/06/dashlane-discloses-brute-force-attack.html
- https://unit42.paloaltonetworks.com/cyber-extortion-economy/
- https://www.helpnetsecurity.com/2026/05/04/openai-chatgpt-advanced-account-security/
- https://www.helpnetsecurity.com/2026/06/02/openai-codex-knowledge-work/
- https://www.helpnetsecurity.com/2026/03/23/gidi-cohen-bonfy-ai-agent-security/