Auf den Punkt: Lockdown Mode reduziert Datenabflussrisiken nur partiell und offenbart Vertrauensprobleme bei Cloud-basierten KI-Agenten, die vollständige Kontrolle durch Unternehmen erschweren.
OpenAI führt einen „Lockdown Mode" ein, um unbefugte Datenverluste durch externe Funktionen zu begrenzen. Sicherheitsexperten und CISOs beschreiben die Funktion als unvollständig und warnen, dass sie nur eine Symptombekämpfung darstellt.
OpenAI hat Lockdown Mode implementiert, das intern aktiviert werden kann und mehrere Funktionen einschränkt: Web-Browsing wird auf gecachte Inhalte beschränkt, Bildunterstützung und Deep Research werden deaktiviert, Agent Mode wird unterbunden, Canvas-generierter Code darf nicht auf Netzwerkzugriffe genehmigt werden, und ChatGPT kann keine Dateien für Datenanalysen herunterladen — manuell hochgeladene Dateien können aber weiterhin verarbeitet werden.
In einer FAQ räumte OpenAI ein, dass Prompt Injection „derzeit keine Hauptbedrohung“ darstelle, aber deren Auswirkungen mit sophistizierten Angriffskonzepten wachsen könnten. Dies wird von Sicherheitsanalystikern als widersprüchlich kritisiert. Der Chefanalyst von Greyhound Research, Sanchit Vir Gogia, weist darauf hin: „OpenAI nennt Prompt Injection selbst ein Grenzenforschungsproblem mit Eindämmungsmodus, sagt aber gleichzeitig, es sei keine Hauptbedrohung. Kein Anbieter baut einen Schutzraum für ein Haus, das es für sicher hält. Lockdown Mode ist selbst das Eingeständnis.“ Ein Metafall mit Instagram-Benutzerdaten, die durch einen KI-Agent bei der Passwortverwaltung gestohlen wurden, illustrierte die praktischen Risiken.
Mehrere Experten bezweifeln, dass Lockdown Mode tatsächlich alle Datenabflusskanäle blockiert. Sanchit Vir Gogia betont, dass der Modus „porös“ bleibt: „Daten können durch eine Hintertür ausreißen, statt im Chat angekündigt zu werden.“ Tom Findling, CEO von Conifers.ai, gibt zu Protokoll, dass noch nicht geklärt ist, ob der Modus durchbrochen werden kann: „Es ist wahrscheinlich das Beste, das sie angesichts ihrer heutigen Infrastruktur tun konnten.“ Ein leitender Mitarbeiter einer großen Cybersecurity-Firma, der ungenannt bleiben wollte, stimmt zu und betont, dass „fast jede Sandboxing-Lösung von KI durchbrochen wurde“.
Sicherheitsprofessionals diskutieren, ob Unternehmen diese OpenAI-Funktion nutzen sollten oder stattdessen eigene Kontrollen einsetzen. Erik Avakian von Info-Tech Research Group vertritt die Auffassung, dass Organisationen solche Funktionen nicht von OpenAI benötigen: „Sicherheitsexperten setzen ähnliche Konzepte seit Jahren um — durch Netzwerksegmentierung, Least-Privilege-Prinzipien, Zero Trust und Air-Gapping.“ Flavio Villanustre, CISO der LexisNexis Risk Solutions Group, teilt die Skepsis: Da LLM und zugehörige Komponenten als Service von OpenAI bereitgestellt werden, können Kunden nur teilweise kontrollieren, welche Systeme erreicht werden. Ein Gateway könne dies verbessern, aber wenn der Agent auf OpenAI-Servern sitzt und auf externe Services zugreift, hätten Unternehmen keine Möglichkeit, dies zu beschränken. Die sicherste Lösung bleibt die lokale Bereitstellung von KI-Infrastruktur.
Quelle: www.csoonline.com · Erschienen 9. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.