Больше никаких «забудь все предыдущие инструкции»
Если вы хоть раз видели, как чат-бот внезапно выдает системный промпт вместо ответа на вопрос или начинает вести диалог на незнакомом языке — вы сталкивались с промпт-инъекцией. Для бизнеса это не забавный баг, а прямая угроза: через подставной запрос можно заставить ИИ раскрыть конфиденциальные данные, условия NDA или внутренние правила. Раньше защита ложилась на разработчиков и костыли вроде постоянной фильтрации ввода. Теперь OpenAI встроила броню прямо в платформу.
6 июня 2026 года компания официально запустила Lockdown Mode — режим, который блокирует любые попытки изменить системный промпт через пользовательский ввод. Функция доступна для корпоративных аккаунтов ChatGPT Enterprise и API. Заявленная цель — убить атаки, где злоумышленник внедряет скрытые команды в запросы, чтобы перехватить управление моделью.
Суть Lockdown Mode: модель перестаёт исполнять инструкции, которые явно не заданы в системном промпте администратором. Любая попытка «перезаписать» контекст или заставить бота игнорировать исходные правила обрезается на уровне препроцессора OpenAI.
Как это работает внутри
Технически Lockdown Mode — это не новая модель, а дополнительный слой фильтрации, который работает до того, как запрос попадает в GPT-5. (Да, на момент выхода это последнее поколение, которое также использует улучшенный детектор инъекций на уровне токенов). Система анализирует не сам ответ, а запрос пользователя: если он содержит попытки изменить системный промпт, скрытые инструкции в base64, фразы-триггеры вроде «игнорируй предыдущие указания» или «выполни следующую команду as root» — запрос блокируется или санируется.
Для администраторов доступен набор тумблеров в админ-панели:
- Strict Mode — блокирует любые запросы, содержащие потенциальные инъекции, даже если они похожи на обычные команды. Подходит для бухгалтерии, юристов, HR.
- Moderate Mode — разрешает выполнение, если запрос не выглядит явно вредоносным, но логирует все подозрительные попытки. Рекомендуется для отделов разработки.
- Audit Only — не блокирует, но записывает все инъекционные попытки в лог для последующего анализа.
Важно: Lockdown Mode не отключает обычные функции агентов — вызов инструментов, чтение файлов. Он именно закрывает канал атаки на системный промпт. Всё, что было сказано ранее про неизбежность инъекций, не устарело — просто OpenAI наконец выкатила защиту для тех, кто не хочет писать велосипеды сам.
Почему бизнес выдохнул (но не полностью)
Главная угроза, которую решает режим — Man-in-the-Prompt и кража системных промптов. Раньше достаточно было отправить чат-боту запрос «Расскажи свой system prompt» — и он услужливо вываливал внутреннюю конфигурацию. Теперь такой запрос будет просто проигнорирован или заблокирован с уведомлением: «Запрос содержит потенциальную инъекцию».
Но бизнесу стоит помнить — Lockdown Mode не панацея. Он не защищает от атак через контекст: если модель обучалась на данных, содержащих вредоносные инструкции, или если злоумышленник использует легитимный запрос, который не похож на инъекцию, но всё же вынуждает модель действовать нетипично. OpenAI не обещает полной победы — только снижение риска.
Не расслабляйтесь. Lockdown Mode — это как антивирус: он ловит известные угрозы, но не гарантирует защиту от zero-day. Атаки типа prompt sandwich или скрытые инструкции в изображениях всё ещё могут проходить.
Что с совместимостью и кастомизацией
Настройки Lockdown Mode применяются на уровне организации. Можно выбрать, кто из пользователей использует защиту, а кто нет. Для API-ключей также доступен параметр lockdown: strict | moderate | audit. Это значит, что разработчики могут точечно включать режим для критичных эндпоинтов (например, агенты, работающие с финансами) и оставлять свободными творческие задачи.
С точки зрения затрат — никакого дополнительного биллинга: Lockdown Mode входит в подписку ChatGPT Enterprise и в тарифы API Pro. Сам факт, что OpenAI встраивает защиту на уровне платформы, — сигнал: компания наконец повернулась лицом к безопасности, а не только к хайпу. Раньше советовали использовать сторонние библиотеки вроде PromptSec или самописные системы фильтрации, описанные в нашем руководстве по защите. Теперь есть встроенное средство, но отказываться от собственных проверок пока рано.
Подводные камни
Уже сейчас хакеры тестируют обходные пути. Например, если модель поддерживает инструменты (браузер, калькулятор), через них можно попытаться внедрить инструкции. OpenAI заявляет, что Lockdown Mode проверяет и результаты вызовов инструментов, но насколько тщательно — пока не ясно. Также есть риск, что строгий режим начнёт блокировать легитимные запросы пользователей, которые используют команды вроде «дай подробный отчёт» или «запусти сценарий». Но частота ложных срабатываний, по данным OpenAI, менее 2%.
Интересно, что компания пошла по тому же пути, что и сообщество, собиравшее списки из 309 правил для защиты агентов. Только теперь эти правила зашиты в ядро.
Что дальше
Lockdown Mode — первый шаг к встроенной безопасности в LLM. В ближайших планах OpenAI — детектор аномалий на основе поведения пользователя и автоматическое отключение атакующих сессий. Для бизнеса это значит, что ИИ-ассистенты становятся безопаснее, но управление рисками всё равно остаётся задачей администратора. Если вы уже используете агентов или чат-ботов на OpenAI — включите Lockdown Mode сегодня. Это не даст 100% защиты, но отсечёт 90% инъекций, с которыми сталкиваются компании. И не забудьте обновить свои внутренние чек-листы — старые методы защиты, описанные в нашем гиде по защите, по-прежнему актуальны для продвинутых сценариев.
