News · OpenAI führt einen Lockdown-Modus-Schalter und „Elevated Risk“-Kennzeichnungen für ChatGPT ein

Jul, 94 Min. Lesezeit
Frontend

OpenAI führt einen Lockdown-Modus-Schalter und „Elevated Risk“-Kennzeichnungen für ChatGPT ein

Eine deterministische Sicherheitseinstellung und standardisierte Risikohinweise im Produkt machen Prompt Injection zu etwas, das Nutzer sichtbar erkennen und abschalten können.

Was der Lockdown-Modus tatsächlich abschaltet

Der Lockdown-Modus ist eine optionale Einstellung, die ChatGPT jene Funktionen entzieht, die es mit der Außenwelt verbinden. Ist er aktiviert, schränkt er den Live-Webzugriff, Bildunterstützung in Antworten, Deep Research einschließlich Shopping-Recherche, den Agent-Modus, Canvas-Netzwerkfunktionen, Live-Connectoren und Datei-Downloads ein oder deaktiviert sie ganz.

Die Begründung ist ausdrücklich: Jede dieser Funktionen ist ein möglicher Weg, über den ein Prompt-Injection-Angriff Informationen aus der Konversation herausschleusen könnte. Web-Browsing etwa wird auf zwischengespeicherte Inhalte beschränkt, damit keine Live-Netzwerkanfragen das kontrollierte Netzwerk von OpenAI verlassen. Wo OpenAI die Datensicherheit nicht deterministisch garantieren kann, wird die Funktion vollständig abgeschaltet statt nur mit einer Warnung versehen.

OpenAI macht unmissverständlich klar, dass dies nicht für jeden gedacht ist. Als Zielgruppe beschreibt das Unternehmen „eine kleine Gruppe besonders sicherheitsbewusster Nutzer – etwa Führungskräfte oder Sicherheitsteams bedeutender Organisationen“, und stellt klar: „Für die meisten Nutzer ist das nicht notwendig.“

Das Wort „deterministisch“ hat echtes Gewicht

OpenAI bezeichnet den Lockdown-Modus wiederholt als deterministische Einstellung. Diese Wortwahl ist bedeutsam. Sicherheit auf Modellebene ist meist probabilistisch – ein Klassifikator oder ein trainiertes Verhalten, das in der Regel greift. Der Lockdown-Modus entzieht stattdessen Funktionen auf der Produktebene, sodass der Schutz nicht davon abhängt, ob das Modell einer bösartigen Anweisung korrekt widersteht.

Der Lockdown-Modus deaktiviert deterministisch bestimmte Tools und Funktionen in ChatGPT, die ein Angreifer ausnutzen könnte, um über Angriffe wie Prompt Injections sensible Daten aus den Konversationen oder verbundenen Apps der Nutzer abzugreifen.Montana Labs

Das ist eine Frontend- und Systemantwort auf ein Problem, das allein durch Modelltraining nicht gelöst wurde. OpenAI beschreibt sie als eine Ebene in einem „Defense-in-Depth“-Ansatz, der bereits Sandboxing, URL-basierte Schutzmaßnahmen gegen Datenabfluss, Monitoring und Unternehmenskontrollen wie rollenbasierte Zugriffsrechte und Audit-Logs umfasst. Der Lockdown-Modus ist die Ebene, die Funktionalität gegen eine Garantie eintauscht.

„Elevated Risk“-Kennzeichnungen standardisieren eine Warnung, die längst nötig war

Die zweite Änderung ist im Umfang kleiner, aber ihre Reichweite dürfte größer sein. OpenAI versieht eine kurze Liste bestehender Funktionen in ChatGPT, ChatGPT Atlas und Codex einheitlich mit der Kennzeichnung „Elevated Risk“.

Das Codex-Beispiel ist konkret: Gewährt ein Entwickler Codex Netzwerkzugriff, damit es Dokumentation nachschlagen kann, trägt der Einstellungsbildschirm nun diese Kennzeichnung zusammen mit einer Erklärung, was sich ändert, welche Risiken entstehen und wann dieser Zugriff angemessen ist. Neu ist nicht die Funktion selbst – neu sind die Kennzeichnung und die Einheitlichkeit über alle Oberflächen hinweg.

OpenAI behandelt die Kennzeichnungen als vorübergehend. Sobald Sicherheitsfortschritte „diese Risiken für die allgemeine Nutzung ausreichend gemindert haben“, will das Unternehmen die „Elevated Risk“-Kennzeichnung von einer Funktion entfernen, und im Laufe der Zeit weitere Funktionen entsprechend kennzeichnen. Die Kennzeichnung ist ein bewegliches Signal dafür, wo die Sicherheitsarbeit der Funktionalität noch hinterherhinkt.

Der Rollout-Weg von Unternehmens- zu privaten Konten

Der Lockdown-Modus startete zunächst in Unternehmenstarifen – ChatGPT Enterprise, Edu, Healthcare und Teachers –, wo Admins ihn in den Workspace-Einstellungen aktivieren, indem sie eine neue Rolle anlegen und so zusätzliche Einschränkungen über die bestehenden Admin-Kontrollen legen. Admins können weiterhin genau festlegen, welche Apps und welche konkreten Aktionen darin im Lockdown-Modus verfügbar bleiben, damit kritische Arbeitsabläufe nicht pauschal offline gezwungen werden.

Ein Update vom 4. Juni 2026 dokumentiert die Erweiterung: Der Lockdown-Modus wird nun auch für private ChatGPT-Konten und Self-Service-Business-Konten ausgerollt, erreichbar über Einstellungen > Sicherheit. Der ursprüngliche Beitrag vom Februar hatte die Verfügbarkeit für Privatnutzer „in den kommenden Monaten“ versprochen – das Update bestätigt, dass es nun eingetroffen ist.

Die Implikation: Prompt-Injection-Schutz wird zu einer sichtbaren Nutzerentscheidung

Was OpenAI hier konkret getan hat, ist, das Prompt-Injection-Risiko aus dem verborgenen Verhalten des Modells heraus- und an die Oberfläche des Produkts zu holen. Der Lockdown-Modus ist ein Schalter, Elevated Risk ist eine Kennzeichnung. Beide legen die Entscheidung – und den Trade-off zwischen Funktionalität und Sicherheit – in die Hände der Nutzer, statt sie stillschweigend zu lösen.

Für Teams, die auf vernetzten KI-Funktionen aufbauen, ist das das eigentlich relevante Signal. OpenAI räumt ein, dass manche netzwerkbezogenen Funktionen „von den Sicherheitsmaßnahmen der Branche noch nicht vollständig abgedeckt sind“, und reagiert darauf, indem es diese Lücke offenlegt statt sie zu überdecken. Wenn die Sicherheitsgeschichte davon abhängt, welche Schalter und Rollen gesetzt sind, ist das Frontend nicht mehr nur der Ort, an dem die Funktion existiert – es ist der Ort, an dem die Sicherheitslage entschieden wird.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Brauchen Sie einen KI-Engineering-Partner, der auch liefern kann?

Wir helfen Unternehmen dabei, KI in Produkte und Prozesse zu integrieren, wertvolle Workflows zu automatisieren und die zugrunde liegenden Softwaresysteme zu modernisieren.

Get in touch

Weiterführende Beiträge

Weitere Analysen rund um Produktbereitstellung, operative KI und die Systemarbeit, die dafür sorgt, dass der Einsatz in der Praxis Bestand hat.

Jul, 134 Min. Lesezeit
Frontend

DNP führte ChatGPT Enterprise in zehn Abteilungen ein und machte das Chatfenster zur zentralen Oberfläche

Jul, 134 min to read
Frontend

AdventHealth deploys ChatGPT across nine states by treating adoption as the product

Jul, 134 Min. Lesezeit
Frontend

AP+ nutzt Codex, um funktionierende Zahlungsprototypen zu bauen – nicht nur klickbare Bildschirme