OpenAI vừa công bố Lockdown Mode — một tính năng bảo mật mới giúp doanh nghiệp bảo vệ dữ liệu nhạy cảm khỏi các cuộc tấn công prompt injection. Tính năng này được thiết kế đặc biệt cho các tổ chức xử lý thông tin mật, nơi rủi ro rò rỉ dữ liệu qua chatbot là mối đe dọa thực sự.
Prompt injection là kỹ thuật tấn công trong đó các chỉ thị độc hại được giấu bên trong trang web hoặc nội dung mà AI chatbot truy xuất. Khi ChatGPT đọc những nội dung này, nó có thể vô tình thực thi lệnh của kẻ tấn công, dẫn đến rò rỉ dữ liệu. Lockdown Mode ra đời để giảm thiểu tối đa rủi ro này — nhưng đi kèm với những đánh đổi về chức năng.
Lockdown Mode vô hiệu hóa những gì?
Khi kích hoạt Lockdown Mode, ChatGPT sẽ ngừng truy cập web trực tiếp — thay vào đó chỉ sử dụng nội dung đã được lưu trong bộ nhớ đệm (cached content). Các tính năng như hiển thị và truy xuất hình ảnh từ web, deep research, và agent mode cũng bị vô hiệu hóa hoàn toàn. Người dùng vẫn có thể tạo ảnh mới bằng DALL-E, nhưng không thể yêu cầu ChatGPT mô tả hoặc phân tích ảnh từ bên ngoài.
Đây là một sự đánh đổi có chủ đích: hy sinh tính năng để lấy bảo mật. Với doanh nghiệp đang xử lý hợp đồng pháp lý, dữ liệu tài chính, hoặc thông tin khách hàng, việc mất đi khả năng duyệt web là cái giá chấp nhận được để đảm bảo dữ liệu không bị đánh cắp qua prompt injection.
Lockdown Mode không phải “lá chắn tuyệt đối”
OpenAI thẳng thắn thừa nhận rằng ngay cả khi Lockdown Mode được bật, ChatGPT vẫn có thể bị tổn thương trước prompt injection. Công ty cho biết: “Các cuộc tấn công có thể xuất hiện trong nội dung web đã cache hoặc trong file được upload, và vẫn có thể ảnh hưởng đến hành vi hoặc độ chính xác của phản hồi.” Nói cách khác, Lockdown Mode là một lớp phòng thủ bổ sung — không phải giải pháp triệt để.
Điều này phản ánh thực tế rằng prompt injection vẫn là một bài toán chưa có lời giải hoàn chỉnh trong ngành AI. Các mô hình ngôn ngữ lớn (LLM) về bản chất không thể phân biệt giữa “chỉ thị hệ thống” và “dữ liệu người dùng” — một lỗ hổng kiến trúc mà không plugin hay tính năng nào có thể vá hoàn toàn.
Ai sẽ được sử dụng Lockdown Mode?
Lockdown Mode hiện đang được triển khai cho các tài khoản ChatGPT Business (tự phục vụ) và một số tài khoản cá nhân đủ điều kiện. OpenAI nhấn mạnh rằng tính năng này “không dành cho tất cả mọi người” — nó được thiết kế riêng cho các cá nhân và tổ chức xử lý dữ liệu nhạy cảm, nơi nhu cầu bảo vệ chống rò rỉ dữ liệu vượt trội hơn nhu cầu sử dụng đầy đủ tính năng của ChatGPT.
Động thái này cho thấy OpenAI đang nghiêm túc trong việc phục vụ phân khúc doanh nghiệp — nơi các yêu cầu về bảo mật và tuân thủ (compliance) là rào cản lớn nhất với việc áp dụng AI. Lockdown Mode có thể là chìa khóa giúp ChatGPT thâm nhập vào các ngành như tài chính, y tế, và pháp lý — những lĩnh vực mà một vụ rò rỉ dữ liệu có thể gây hậu quả pháp lý nghiêm trọng.
Bối cảnh: Prompt injection đang là mối đe dọa ngày càng lớn
Lockdown Mode ra mắt trong bối cảnh các cuộc tấn công prompt injection ngày càng tinh vi. Chỉ vài tuần trước, các nhà nghiên cứu đã chứng minh cách giấu prompt injection trong nội dung ẩn của trang web — văn bản màu trắng trên nền trắng, font-size 0px, hoặc comment HTML mà mắt người không thấy nhưng AI chatbot vẫn “đọc”. Những kỹ thuật này biến bất kỳ trang web nào cũng có thể trở thành “bẫy” cho AI agent.
Không chỉ OpenAI, các công ty khác như Anthropic và Google cũng đang đầu tư mạnh vào phòng chống prompt injection. Claude của Anthropic có cơ chế Constitutional AI tích hợp sẵn, trong khi Google áp dụng các lớp lọc nhiều tầng cho Gemini. Lockdown Mode là cách tiếp cận của OpenAI: thay vì cố gắng phát hiện và chặn mọi cuộc tấn công, họ giới hạn bề mặt tấn công ngay từ đầu.
Nguồn: TechCrunch — OpenAI unveils Lockdown Mode to protect sensitive data from prompt injection attacks