今日取り上げるのは、モデルの性能競争ではなく、AIを安全に使うための「引き算」のニュースです。OpenAIのChatGPTに、Lockdown Mode、つまりロックダウンモードが展開されています。TechCrunchは6月6日午後に、OpenAIがプロンプトインジェクション攻撃から機密データを守るための機能としてこれを発表したと報じました。一次情報であるOpenAIのヘルプセンターとリリースノートでも、ロックダウンモードはログイン済みユーザーの各種アカウントやワークスペースで使える、高度な任意のセキュリティ設定として説明されています。(techcrunch.com)
何が起きるかを簡単に言うと、ChatGPTが外部へ接続する能力をかなり制限します。ライブWebブラウジングはキャッシュ済みコンテンツ中心になり、Deep Research、Agent Mode、Canvasのネットワークアクセス、ファイルのダウンロード、一部のWeb由来画像表示などが無効化または制限されます。個人ユーザーは設定のSecurityから有効化でき、ワークスペース管理者はロールベースアクセス制御と組み合わせてメンバーに適用できます。(help.openai.com)
ここで大事なのは、これは「プロンプトインジェクションをAIが賢く見破る機能」ではない、という点です。プロンプトインジェクションとは、Webページ、ファイル、メール、ログなどに悪意ある指示を紛れ込ませ、AIに本来の意図と違う行動を取らせる攻撃です。OpenAI自身も、プロンプトインジェクションは難しい未解決の研究課題であり、ロックダウンモードを有効にしても完全には防げないと明記しています。アップロードされたファイルやキャッシュ済みコンテンツの中に悪意ある指示があれば、回答の挙動や正確性には影響しうる、ということです。(help.openai.com)
では、なぜ重要なのか。ポイントは、攻撃そのものを消すのではなく、攻撃が成功したときの「出口」を減らす設計にあります。たとえば、AIが悪意ある指示にだまされたとしても、外部サイトへライブ接続できない、ファイルを勝手にダウンロードできない、エージェントとして外部ツールを動かせない、という状態なら、機密情報が外へ流れる経路は狭くなります。これはAIセキュリティというより、古典的な最小権限の原則をLLM製品に持ち込む動きです。(help.openai.com)
この機能の面白さは、AI製品の価値である「つながること」と、セキュリティ上の危険である「つながりすぎること」が、同じ場所にあると認めている点です。最近のChatGPTは、Web、ファイル、アプリ、コネクタ、エージェント機能と結びつくほど便利になります。しかし、その結合点はそのまま攻撃面にもなります。ロックダウンモードは、便利さを一部犠牲にしてでも、法律、医療、財務、経営、研究、報道など、機密性の高い文脈で使うための別モードを用意するものだと言えます。(help.openai.com)
注意点もあります。ロックダウンモードは、メモリ設定、ファイルアップロード、会話共有、会話がモデル改善に使われるかどうかの設定を自動的に変えるものではありません。また、Codexのネットワークアクセスには影響しないと説明されています。つまり、「ロックダウン」という名前から想像するほど全領域を遮断するわけではなく、主にChatGPTと対応製品における外部接続・外部アクションのリスクを下げるための設定です。(help.openai.com)
今後の見通しとしては、AIアシスタントのUXは「高性能なモデルを選ぶ」だけでなく、「この会話ではどの権限を渡すか」を選ぶ方向へ進みそうです。モデルが賢くなるほど、許可できる行動も増えます。しかし行動が増えるほど、失敗時の被害も大きくなる。だからこそ、ブラウズ可、ファイル可、社内データ可、書き込み可、外部送信可、といった権限の粒度を、人間と管理者が明示的に扱う必要があります。
今日のニュースは派手な新モデル発表ではありません。でも、生成AIが仕事の中心に入るうえではかなり本質的です。AIに「何ができるか」だけでなく、「何をさせないか」を製品機能として設計する段階に入った。ロックダウンモードは、その流れを分かりやすく示す一歩です。