ChatGPTが「Web検索もエージェントも止める」セキュリティモードを全ユーザーに開放した

ChatGPTに新しいセキュリティ設定「Lockdown Mode」が登場した。Web検索、Agent Mode、Deep Research、画像表示、ファイルダウンロードなど、外部と通信するほぼすべての機能を止める。

一見すると「ChatGPTの魅力を全部殺してない？」と思う。正直、その通りだ。だが、この割り切りにこそ意味がある。

何が起きたのか

OpenAIは2026年6月4日から8日にかけて、Lockdown Modeを個人アカウントおよびChatGPT Businessの全ユーザーに展開した。もともとEnterpriseプラン限定だった機能が、Freeプランを含む全プランで使えるようになった。

設定方法はシンプルで、ChatGPTの「設定」→「Safety and security」→「Advanced security」からトグルをオンにするだけだ。

オフになる機能

Lockdown Modeを有効にすると、以下が制限または無効化される。

• ライブWeb検索 — キャッシュ済みコンテンツのみアクセス可能。OpenAIの管理ネットワーク外へのリクエストは発生しない
• 画像表示 — 外部画像の取得・表示が無効に（画像生成は可能）
• Deep Research — ショッピングリサーチを含む全機能が停止
• Agent Mode — 自律的なタスク実行が無効
• Canvas ネットワーキング — 外部接続機能が停止
• ライブコネクタ — 外部サービスとの連携が遮断
• ファイルダウンロード — 外部からのファイル取得が無効

要するに、ChatGPTと外の世界をつなぐパイプをすべて閉じる。残るのは、モデルの推論能力とアップロード済みファイルの処理だけだ。

狙いは「プロンプトインジェクション経由のデータ流出」の遮断

なぜここまで削るのか。答えはプロンプトインジェクションだ。

攻撃者がWebページやドキュメントに悪意ある指示を埋め込み、ChatGPTがそれを読み込むと、ユーザーの機密データを外部に送信させられる可能性がある。Web検索や画像取得、ファイルダウンロードといった「外部通信」の経路が、データ流出の出口になる。

Lockdown Modeはその出口を物理的に閉じる。外部通信がゼロなら、プロンプトインジェクションが成功してもデータの持ち出し先がない。

ただし「騙される」ことは防げない

ただし、OpenAI自身が認めている通り、Lockdown Modeをオンにしてもプロンプトインジェクション自体は防げない。キャッシュ済みWebコンテンツやアップロードファイルに悪意ある指示が含まれていれば、ChatGPTの挙動や回答の正確性には影響が出る。

防げるのは「データを外に出す」部分であって、「騙される」部分ではない。この区別は覚えておくべきだ。

同時導入された「Elevated Risk」ラベル

Lockdown Modeとあわせて「Elevated Risk」ラベルも導入された。ChatGPT、ChatGPT Atlas、Codexで、セキュリティリスクが伴う機能を有効にする際に警告が表示される仕組みだ。

ラベルには、その機能が何をするか、有効にすると何が変わるか、どんなリスクがあるかが記載される。地味だが、機能を追加するたびにリスクが膨らむAI製品にとって、こうした透明性はじわじわ効いてくる。

使うべき人、使わなくていい人

ほとんどのユーザーには不要だ。日常の質問や文章作成にChatGPTを使っているなら、Lockdown Modeをオンにするメリットはない。Web検索もAgent Modeも使えなくなる不便さのほうが大きい。

必要なのは、機密性の高い業務データをChatGPTにアップロードして分析する場面だ。社内の契約書や財務データを扱うとき、未公開の戦略資料について質問するとき。こうした場面では「使う前にオン、終わったらオフ」というスイッチ的な運用が現実的だろう。

AIチャットボットがここまで明示的なセキュリティモードを用意するのは業界初だ。ClaudeにもGeminiにも同等の機能はまだない。ChatGPTのエージェント化が進み、攻撃面が広がる中で、機能を増やす攻めとリスクを減らす守りを両立させようとするOpenAIの姿勢が見える。