OpenAI מוסיפה ל-ChatGPT שכבת אבטחה חדשה בשם Lockdown Mode, שנועדה לצמצם את הסיכון שמידע רגיש יזלוג בעקבות מתקפות prompt injection אחת הבעיות המטרידות ביותר בעולם סוכני ה-AI והעוזרים המחוברים לאינטרנט. לפי הדיווח של TechCrunch ולפי פרטי ההשקה שפורסמו על ידי OpenAI, מדובר במצב עבודה אופציונלי שמקשיח משמעותית את האופן שבו ChatGPT מתקשר עם הרשת ועם שירותים חיצוניים. בפועל, הוא מגביל או משבית יכולות כמו גלישה חיה באינטרנט, Deep Research, Agent Mode, הורדות קבצים וחלק מהתמיכה בתמונות שמקורן ברשת. הרעיון פשוט: גם אם מודל שפה עדיין עלול להיחשף להוראות זדוניות המוטמעות בדפי אינטרנט, מסמכים או מקורות חיצוניים אחרים, צריך להקטין ככל האפשר את ההזדמנויות שבהן הוא יוכל לשתף מידע רגיש עם גורם לא מורשה.
מהו בעצם Prompt Injection ולמה זו בעיה קשה כל כך
מתקפת prompt injection מתרחשת כאשר תוקף שותל הוראות זדוניות בתוך תוכן שנראה תמים לכאורה דף אינטרנט, מסמך, מייל, לוגים או אפילו הערות HTML במטרה לגרום למערכת AI לשנות את התנהגותה. במקום לבצע רק את המשימה שביקש המשתמש, המערכת עלולה "להקשיב" להוראות המוסתרות במקור החיצוני, לחשוף מידע מתוך שיחה, להשתמש בכלי חיצוני באופן לא רצוי או לייצר תשובה שגויה ומוטה. OpenAI עצמה כתבה בחודשים האחרונים כי זהו אחד האיומים המרכזיים על סוכני AI, במיוחד ככל שמוסיפים להם יותר הרשאות, יותר גישה לאינטרנט ויותר אינטגרציות עם אפליקציות ארגוניות. גם מחקר עדכני ב-arXiv מצביע על כך ש-prompt injection מדורג כקטגוריית הסיכון מספר אחת ברשימות האיומים של יישומי LLM, משום שהוא מסוגל לעקוף מגבלות, לחשוף נתונים ולהפעיל כלים בלי כוונה מפורשת של המשתמש.
- הזרקת הוראות זדוניות בתוך תוכן חיצוני שנקרא על ידי המודל
- ניסיון לגרום לעוזר לחשוף מידע מתוך השיחה או מתוך שירותים מחוברים
- שימוש לא מורשה בכלים, דפדפן, קבצים או אינטגרציות ארגוניות
- קושי בזיהוי, משום שההנחיות הזדוניות מוסוות כחלק מהתוכן הרגיל
הקושי המרכזי בהגנה מפני Prompt Injection הוא שמדובר בבעיה מבנית, לא רק בבעיה של סינון טקסט. לפי ניתוחים של OpenAI ושל חוקרי אבטחה נוספים, התקיפה לא תמיד מגיעה ממשתמש עוין באופן ישיר, אלא דרך מקור שהמערכת תופסת כלגיטימי: דף תיעוד, יומן מערכת, קובץ שהועלה, או אתר ש-ChatGPT התבקש לסכם. במחקר של Cloud Security Alliance תוארו מקרים מהשטח שבהם הוראות זדוניות הוסתרו בטקסט שלא נראה למשתמשים אנושיים, אך כן נקרא על ידי מודלים מתוך ה-DOM או ה-Markdown הגולמי. במילים אחרות, הבעיה אינה רק "תוכן מסוכן", אלא עצם העובדה שהמודל צורך מידע חיצוני וצריך להחליט בזמן אמת אילו הוראות לציית להן ואילו להתעלם מהן. זו בדיוק הסיבה ש-OpenAI בוחרת כאן בגישה מצמצמת: פחות חיבורים, פחות הרשאות, פחות סיכוי לזליגת מידע.
מה Lockdown Mode משנה בפועל ב-ChatGPT
לפי OpenAI, Lockdown Mode הוא מצב אבטחה מתקדם ואופציונלי, ולא הגדרת ברירת מחדל לכלל המשתמשים. במצב זה, ChatGPT מגביל יכולות מבוססות רשת ושירותים חיצוניים כדי להפחית את הסיכון ל-data exfiltration, כלומר להוצאת מידע רגיש החוצה באמצעות פעולות שמודל או סוכן מבצע בשם המשתמש. אחד השינויים הבולטים הוא שגלישה ברשת מוגבלת לתוכן שמור במטמון, כך שלא מתבצעות בקשות רשת חיות אל אתרים חיצוניים. במקביל, יכולות כמו Deep Research, Agent Mode, הורדות קבצים ותמיכה מסוימת בתמונות מהרשת מצטמצמות או נחסמות. בגרסאות העבודה והארגון, מנהלים יכולים גם להחיל את ההגדרה ברמת workspace ולקבוע אילו משתמשים, אפליקציות או פעולות יישארו זמינים תחת המדיניות המחמירה.
- הגבלת גלישה חיה באינטרנט והסתמכות על תוכן cached
- חסימה או צמצום של Deep Research ו-Agent Mode
- הגבלת הורדות קבצים ויכולות נוספות שמערבות רשת חיצונית
- שליטה ארגונית דרך הגדרות workspace והרשאות מבוססות תפקיד
חשוב לשים לב להתפתחות בלוח הזמנים. בפברואר 2026 OpenAI הציגה את Lockdown Mode כתכונת אבטחה למשתמשים בעלי פרופיל סיכון גבוה, בעיקר בארגונים ובסביבות מנוהלות. כעת, לפי הערות הגרסה של ChatGPT שפורסמו בתחילת יוני 2026, המצב הזה כבר זמין לכל המשתמשים המחוברים, על פני סוגי חשבונות שונים וסביבות עבודה שונות. כלומר, מבחינת המוצר, OpenAI עוברת משכבת הגנה שיועדה בתחילה בעיקר לארגונים רגישים, לכלי הגנה רחב יותר שגם משתמשים פרטיים יכולים להפעיל דרך הגדרות האבטחה. זהו מהלך מעניין: מצד אחד החברה אינה מציגה את הכלי כפתרון קסם, אך מצד אחר היא מאותתת שהאיום מספיק משמעותי כדי להצדיק מנגנון מוקשח ונגיש הרבה יותר מבעבר.
למה OpenAI מדגישה שלא מדובר בפתרון מלא
אחת הנקודות החשובות ביותר בהשקה היא דווקא מגבלת המוצר. OpenAI מבהירה בפירוש שגם כאשר Lockdown Mode פעיל, ChatGPT עדיין עלול להיות פגיע ל-prompt injections. לפי החברה, הוראות זדוניות עדיין עשויות להופיע בתוכן cached או בתוך קובץ שהמשתמש העלה, והן עדיין יכולות להשפיע על התנהגות המערכת או על דיוק התשובה. במילים אחרות, מצב הנעילה מצמצם את משטח התקיפה, אך אינו מבטל את עצם הסיכון שהמודל ייחשף לתוכן מניפולטיבי. זו הודאה חשובה, משום שהיא מתיישבת עם העמדה הרחבה יותר שמסתמנת בתעשייה: prompt injection אינו "באג" נקודתי שאפשר לתקן בקלות, אלא מאפיין עמוק של מערכות שמפרשות שפה טבעית ומשלבות קלטים חיצוניים, כלים, זיכרון והרשאות פעולה.
OpenAI עצמה כתבה במסמך נפרד על תכנון סוכני AI עמידים יותר ל-prompt injection, כי בחלק מהמקרים זוהו מתקפות שעבדו גם מול מערכות עם שכבות סינון, וכי גישות כמו "AI firewalling" אינן בהכרח מצליחות לעצור מתקפות מפותחות. החברה אף הציגה דוגמה מ-2025, שעליה דיווחו חוקרי אבטחה חיצוניים, שבה תקיפה הצליחה בחלק מהניסויים לשנות את התנהגות ChatGPT במהלך תהליך מחקר. גם מהזירה הרחבה יותר מגיעים מקרים שמחזקים את האבחנה הזו: חוקרי Cloud Security Alliance סקרו תקריות שבהן הזרקות עקיפות הובילו לדליפת מידע או להפעלת כלים לא מורשית, לעיתים בלי שפורסמה כלל התראת CVE מסודרת. מבחינת ארגונים, המשמעות ברורה: לא די במודל חכם יותר; נדרשת ארכיטקטורת הרשאות קשיחה, הפרדת יכולות, ניטור ושקיפות תפעולית.
המשמעות עבור ארגונים, צוותי אבטחה ומשתמשים בישראל
מהזווית הישראלית, ההשקה של Lockdown Mode רלוונטית במיוחד. ארגונים מקומיים בתחומי הפיננסים, הביטחון, הבריאות, הסייבר, השירותים המשפטיים והמגזר הציבורי כבר בוחנים או מטמיעים מערכות AI שמחוברות למאגרי מסמכים, מערכות דואר, כלי פיתוח ומקורות ידע פנימיים. בישראל, שבה קצב האימוץ של טכנולוגיות AI גבוה מאוד לצד רגישות גבוהה למידע עסקי ולאומי, האיזון בין פרודוקטיביות לאבטחה הופך קריטי. עבור צוותי אבטחה, Lockdown Mode מספק שכבת בלימה שימושית במיוחד במקרים שבהם לא ניתן עדיין למפות במדויק את כל ערוצי הסיכון של סוכן AI. עבור מנהלי מערכות מידע, זהו כלי מדיניות: אפשר לאפשר שימוש ב-ChatGPT גם בעבודה עם מידע רגיש, אך תחת מעטפת שמפחיתה יכולות בעייתיות מראש. עבור משתמשי קצה, המסר פשוט יותר כשעובדים עם חומר רגיש, לא כל פיצ'ר נוח צריך להישאר פתוח.
- בארגוני בריאות ופיננסים: צמצום סיכון בחשיפה למסמכים, תיקים ומידע מזהה
- בחברות תוכנה וסייבר: הפחתת סיכון בעת שימוש בכלים מחוברים, קוד ותיעוד חיצוני
- במגזר הציבורי והביטחוני: חיזוק עקרון המינימום ההכרחי בהרשאות ובקישוריות
- למשתמשים פרטיים: אפשרות לוותר על נוחות מסוימת לטובת סביבת עבודה בטוחה יותר
עם זאת, בישראל כמו בכל שוק אחר, Lockdown Mode לא פותר לבדו את בעיית הממשל התאגידי סביב AI. ארגונים עדיין יצטרכו להגדיר אילו סוגי מידע מותר להזין לכלי AI, מי רשאי להפעיל אינטגרציות, כיצד מנהלים יומני פעילות, ואיך בודקים בדיעבד אם נחשף מידע שלא היה אמור לצאת החוצה. OpenAI ציינה בעבר שבסביבות ארגוניות ניתן לשלב את מצב הנעילה עם בקרות נוספות כמו הרשאות מבוססות תפקיד ולוגים לצורכי תאימות. לכן, הערך האמיתי של המהלך אינו רק בכפתור חדש בהגדרות, אלא באיתות רחב יותר: עולם ה-AI עובר מעידן של "כמה שיותר יכולות" לעידן שבו מגבלות חכמות, תיחום גישה והקשחת סביבת ההפעלה הם חלק בלתי נפרד מהמוצר עצמו.
ההקשר הרחב: יותר סוכנים, יותר כלים, יותר שטח תקיפה
ההשקה של Lockdown Mode אינה אירוע נקודתי, אלא חלק ממגמה רחבה יותר בתעשיית ה-AI. ככל שחברות מוסיפות למודלים יכולות גלישה, ביצוע משימות, גישה למיילים, מסמכים, קוד, מסדי נתונים ואפליקציות ארגוניות, כך שטח התקיפה גדל. אותה יכולת שהופכת עוזר AI ליעיל יותר למשל לקרוא דף, להצליב נתונים, להוריד קובץ או לפעול דרך כלי חיצוני יכולה גם לשמש תוקף שיטמיע הוראות מניפולטיביות בדיוק במסלול הזה. מחקרים מהחודשים האחרונים, לצד דיווחי אבטחה על כלים כמו Copilot, Gemini CLI, Claude Code ומערכות נוספות, מצביעים על פער משמעותי בין קצב ההטמעה העסקי לבין רמת ההגנות המעשית. לכן OpenAI אינה רק מציגה פיצ'ר, אלא מצטרפת למעשה למהלך רחב יותר שבו ספקיות AI מתחילות להודות במפורש שהרשאות חופשיות וחיבוריות מלאה אינן ברירת המחדל הבטוחה.
בסופו של דבר, Lockdown Mode הוא צעד חשוב אך מפוכח. הוא לא מבטיח חסינות מלאה, לא "פותח" את בעיית ה-prompt injection, ולא מבטל את הצורך במדיניות אבטחה ארגונית, בבקרה אנושית ובהבנת סיכונים. אבל הוא כן מסמן כיוון בוגר יותר: אם לא ניתן לסמוך על המודל שיזהה תמיד מניפולציה, צריך להגביל את היכולת שלו להעביר מידע, לפעול מול רשת חיצונית או לשלב נתונים רגישים במסלולים שקשה לפקח עליהם. מבחינה מוצרית, זו הודאה בכך שאבטחת AI אינה יכולה להישען רק על איכות המודל; היא חייבת לכלול גם הנדסת מערכת, תיחום הרשאות וחוויית שימוש שמבהירה למשתמש מתי הוא עובד במצב בעל סיכון מוגבר. עבור השוק הישראלי, שבו השילוב בין חדשנות מהירה לרגישות אבטחתית הוא כמעט ברירת מחדל, זהו מסר שיש לו משמעות מעשית מאוד.