OpenAI ha annunciato un rafforzamento significativo delle funzionalità di sicurezza di ChatGPT con l’introduzione di due nuovi meccanismi progettati per contrastare in modo più efficace gli attacchi di tipo “prompt injection”, una categoria di minacce che mira a manipolare il comportamento del modello inducendolo a seguire istruzioni dannose o a esfiltrare informazioni sensibili. In un contesto in cui i sistemi di intelligenza artificiale sono sempre più integrati con browser, API, repository aziendali e strumenti di sviluppo, la superficie di attacco si è ampliata, rendendo necessario un approccio più strutturato alla gestione del rischio operativo.
Il primo strumento introdotto è la cosiddetta “Modalità di blocco”, una configurazione di sicurezza avanzata e facoltativa pensata per ambienti ad alta sensibilità, come grandi organizzazioni, team di sicurezza informatica, dirigenti aziendali o settori regolamentati. Questa modalità non è attivata di default per gli utenti generici, ma è destinata in prima battuta ai piani enterprise e istituzionali, tra cui ChatGPT Enterprise, ChatGPT Edu, ChatGPT for Healthcare e ChatGPT for Teachers. L’obiettivo è ridurre drasticamente la possibilità che un attacco di prompt injection possa sfruttare l’accesso del modello a sistemi esterni per ottenere dati riservati o manipolare flussi di lavoro critici.
Dal punto di vista tecnico, la Modalità di blocco interviene principalmente sulla capacità del modello di interagire con risorse esterne. In condizioni standard, ChatGPT può utilizzare funzioni come la navigazione web o l’accesso a fonti connesse per recuperare informazioni aggiornate o integrare dati provenienti da repository aziendali. In un ambiente bloccato, queste interazioni vengono limitate o completamente disabilitate se non è possibile garantire un adeguato livello di sicurezza dei dati. Ad esempio, la funzione di browsing non effettua richieste di rete in tempo reale verso l’esterno, ma si limita a contenuti memorizzati nella cache e gestiti all’interno dell’infrastruttura controllata da OpenAI. Questa scelta riduce il rischio che istruzioni malevole incorporate in pagine web o documenti esterni inducano il modello a comportamenti indesiderati.
La Modalità di blocco si integra con i sistemi di sicurezza aziendali già esistenti, come il controllo degli accessi basato sui ruoli e la segmentazione delle autorizzazioni. Gli amministratori possono creare ruoli specifici all’interno dell’area di lavoro e abilitare la modalità solo per determinati utenti o gruppi, configurando in modo granulare quali applicazioni o operazioni siano consentite anche in un contesto fortemente restrittivo. Questo approccio consente di bilanciare esigenze operative e requisiti di sicurezza, evitando un blocco totale che potrebbe compromettere la produttività. A supporto di tale architettura, OpenAI mette a disposizione anche una piattaforma di log API per la conformità, che offre visibilità sulla cronologia di utilizzo delle applicazioni, sui dati condivisi e sulle fonti collegate, facilitando audit interni e verifiche regolatorie.
Parallelamente alla Modalità di blocco, OpenAI ha introdotto un secondo strumento di governance: l’etichetta “Rischio elevato”. Questa etichettatura è applicata alle funzionalità che, pur offrendo maggiore potenza e flessibilità, comportano un potenziale aumento dell’esposizione a minacce. L’integrazione di rete, ad esempio, consente a strumenti come ChatGPT, il browser AI ChatGPT Atlas o l’ambiente per sviluppatori Codex di accedere a risorse esterne per recuperare documentazione o dati online. Tuttavia, l’accesso diretto alla rete può amplificare i rischi associati a contenuti malevoli o a richieste di esfiltrazione dati.
Nel caso di Codex, quando uno sviluppatore abilita l’accesso alla rete per consentire il recupero di documentazione web o l’interazione con servizi esterni, l’interfaccia delle impostazioni visualizza un indicatore di “Rischio elevato”. Questo indicatore è accompagnato da una spiegazione dettagliata della modifica, dei potenziali rischi connessi e del contesto appropriato per l’uso. L’obiettivo non è impedire l’accesso a tali funzionalità, ma rendere esplicito il livello di rischio associato, promuovendo una maggiore consapevolezza decisionale da parte dell’utente o dell’amministratore.
La logica sottostante all’etichettatura è dinamica. OpenAI ha chiarito che, qualora i meccanismi di mitigazione e le tecnologie di sicurezza evolvano al punto da ridurre il rischio a un livello considerato moderato, l’etichetta potrà essere rimossa. Allo stesso modo, l’emergere di nuove minacce potrà comportare l’aggiornamento o l’estensione del sistema di classificazione del rischio. In questo senso, l’etichettatura non è statica ma parte di un processo continuo di adattamento alla minaccia, coerente con le pratiche di gestione del rischio tipiche della cybersecurity tradizionale.
Queste novità si inseriscono in un quadro più ampio di misure multilivello già adottate da OpenAI. Tra queste figurano meccanismi di sandboxing per isolare i processi, sistemi di prevenzione della perdita di dati basati su URL, monitoraggio e applicazione delle policy, controllo degli accessi basato sui ruoli e registri di audit. L’aggiunta della Modalità di blocco e dell’etichetta “Rischio elevato” rafforza ulteriormente questo impianto, spostando parte della responsabilità e del controllo verso l’utente finale o l’organizzazione, che può scegliere consapevolmente il livello di apertura o restrizione dell’ambiente AI.
L’iniziativa riflette una consapevolezza crescente del fatto che, man mano che l’intelligenza artificiale si integra con il web, con applicazioni esterne e con infrastrutture aziendali critiche, il modello non è più un sistema isolato ma un nodo attivo all’interno di ecosistemi complessi. In tali scenari, la sicurezza non può essere affidata esclusivamente al modello linguistico, ma richiede un’architettura sistemica che combini limitazioni tecniche, trasparenza sulle configurazioni e strumenti di controllo amministrativo.
Nei prossimi mesi, OpenAI prevede di estendere la Modalità di blocco anche ai servizi consumer, segnalando un orientamento verso una democratizzazione delle funzionalità di sicurezza avanzate. In un panorama in cui le minacce basate su prompt injection diventano sempre più sofisticate, l’approccio adottato mira a fornire agli utenti maggiore controllo operativo e maggiore consapevolezza dei rischi, contribuendo a costruire un ambiente AI più resiliente e trasparente.