Descripción general
Modo restringido es una configuración avanzada de seguridad opcional que restringe muchas herramientas y capacidades de los productos de OpenAI, impidiendo que accedan a la red. Proporciona una protección determinista sólida frente a ataques de exfiltración de datos basados en inyección de prompts, a costa de desactivar o limitar muchas funciones que de otro modo serían útiles.
El Modo restringido no está pensado para todo el mundo, sino que está diseñado para que las organizaciones protejan los datos sensibles de miembros que operan con el mayor riesgo de ataques de exfiltración de datos basados en inyección de prompts.
Disponibilidad
El Modo restringido está disponible para ChatGPT Enterprise, Edu, ChatGPT for Healthcare y ChatGPT for Teachers.
Tenemos previsto poner el Modo restringido a disposición de los planes de consumo y Teams de ChatGPT en los próximos meses.
¿Cómo protege el Modo restringido frente a ataques de exfiltración basados en inyección de prompts?
La inyección de prompts es un problema de investigación de vanguardia y complejo, y trabajamos continuamente para reforzar nuestros sistemas multinivel de seguridad y protección con el fin de proteger a todos los usuarios frente a estos ataques.
Para quienes corren mayor riesgo ante estos ataques, el Modo restringido ofrece protecciones de seguridad deterministas al desactivar muchas herramientas y capacidades de los productos de OpenAI con acceso a la red.
El Modo restringido se basa en nuestras protecciones ya existentes en los niveles de modelo, producto y sistema. Esto incluye aislamiento en sandbox, protecciones frente a la exfiltración de datos basada en URL, supervisión y aplicación de medidas, y controles empresariales como acceso basado en roles y registros de auditoría.
En concreto, para quienes están en Modo restringido, se desactivan las siguientes capacidades de los productos de OpenAI:
Navegación web con acceso a la web en vivo: la navegación web se limita a acceder solo a contenido en caché. Esto significa que esta capacidad no puede usarse para transmitir datos sensibles a un atacante, aunque también significa que los resultados de búsqueda pueden ser algo limitados o no estar actualizados.
Compatibilidad con imágenes: las respuestas de ChatGPT no pueden incluir imágenes. Los usuarios pueden seguir subiendo sus propios archivos de imagen y también pueden seguir usando la capacidad de generación de imágenes.
Investigación avanzada: la investigación avanzada está desactivada.
Modo agente: el Modo agente está desactivado.
Redes en canvas: los usuarios no pueden aprobar que el código generado en canvas acceda a la red.
Descarga de archivos: ChatGPT no puede descargar archivos para analizarlos. Ten en cuenta que ChatGPT aún puede trabajar con tus archivos subidos manualmente.
La configuración de estas funciones de este modo está pensada para evitar que se usen en la etapa final de ataques de exfiltración de datos impulsados por inyección de prompts, al impedir de forma determinista las solicitudes de red salientes que podrían enviarse al atacante para transferir dichos datos. Ten en cuenta que el Modo restringido no impide de forma determinista que las inyecciones de prompts lleguen al contexto en primer lugar (por ejemplo, una inyección de prompts podría estar en contenido en caché al que se accede mediante la navegación web); en cambio, está diseñado para impedir solicitudes de red que podrían usarse para transferir datos sensibles a un atacante.
Ten en cuenta que el Modo restringido no afecta a la memoria, la carga de archivos ni la posibilidad de compartir la conversación. Muchas de estas opciones pueden configurarse de forma independiente por los administradores del Área de trabajo.
Ten en cuenta que el Modo restringido no afecta al acceso a la red en Codex.
¿Cómo funciona el Modo restringido con las aplicaciones?
Las aplicaciones (incluidos los MCP y los conectores) pueden interactuar con internet, por lo que conllevan un riesgo potencial de uso por parte de atacantes para ataques de exfiltración de datos impulsados por inyección de prompts, a pesar de nuestras diversas protecciones de seguridad y protección multinivel.
Como muchos flujos de trabajo importantes dependen de aplicaciones de confianza concretas, el Modo restringido no desactiva las aplicaciones; en su lugar, se recomienda a los administradores de la organización que configuren cuidadosamente qué aplicaciones, y qué acciones dentro de ellas, están habilitadas, reduciéndolas al conjunto mínimo necesario.
Al configurar aplicaciones para miembros con el Modo restringido activado, recomendamos a los administradores tener en cuenta la siguiente guía, que describe el riesgo de exfiltración de datos de cada una:
Riesgo medio: usar con precaución para usuarios en Modo restringido:
Conectores de sincronización: los conectores de sincronización presentan un riesgo bajo como posible «destino» de ataques de exfiltración de datos, ya que los datos a los que se accede se sincronizan con OpenAI, por lo que las consultas no generan solicitudes de red que salgan de la red de OpenAI. Dicho esto, aún pueden actuar como fuentes de datos sensibles desde las que actores maliciosos pueden intentar exfiltrar información.
Acciones de lectura de aplicaciones de confianza: las acciones de lectura dentro de aplicaciones de confianza presentan un riesgo bajo como posible «destino» de ataques de exfiltración de datos. Dicho esto, aún pueden actuar como fuentes de datos sensibles desde las que actores maliciosos pueden intentar exfiltrar información.
Acciones de escritura de aplicaciones de confianza, cuando se garantiza que la acción de escritura solo es accesible para quienes son de tu confianza: las acciones de escritura son intrínsecamente más arriesgadas que las de lectura, ya que producen un efecto secundario observable. Recomendamos encarecidamente no habilitar ninguna acción de escritura a menos que tengas mucha confianza en que el efecto secundario no sea observable por ningún posible actor malicioso.
Riesgo alto: no se recomienda para usuarios en Modo restringido:
Acciones de lectura o escritura en aplicaciones no confiables: recomendamos encarecidamente no habilitar aplicaciones en las que no confíes
Acciones de escritura de aplicaciones de confianza, cuando no se garantiza que la acción de escritura solo sea accesible para quienes son de tu confianza: recomendamos encarecidamente no habilitar acciones de escritura, ni siquiera en aplicaciones en las que confíes, si no tienes plena certeza de que el efecto secundario de esa acción de escritura definitivamente no sea observable por ningún posible actor malicioso.
Además, y aparte del Modo restringido, la **plataforma de registros de la API de Compliance** ofrece visibilidad detallada sobre el uso de aplicaciones, los datos compartidos y las fuentes conectadas para ayudar a los administradores a mantener la supervisión a medida que se amplían las capacidades de IA.
Activar el Modo restringido para los miembros de tu área de trabajo
Los administradores del Área de trabajo pueden crear un nuevo rol personalizado y designarlo como rol de «Modo restringido» y, después, asignar un grupo de usuarios a ese rol personalizado.
Preguntas frecuentes
¿Quién puede activar el Modo restringido?
Los administradores del Área de trabajo pueden activarlo en la configuración del Área de trabajo mediante controles de acceso basados en roles.
¿El Modo restringido impide todos los ataques de inyección de prompts?
El Modo restringido está diseñado para reducir sustancialmente el riesgo de exfiltración de datos basada en inyección de prompts en ChatGPT y Atlas, pero no garantiza que no pueda ocurrir, por ejemplo mediante aplicaciones habilitadas o combinaciones imprevistas y recién descubiertas de otras capacidades. Además, el Modo restringido no afecta a nuestros productos Codex.
Además, el Modo restringido no evita todos los demás efectos de los ataques de inyección de prompts; por ejemplo, un ataque malicioso oculto en un archivo subido aún podría afectar al comportamiento de ChatGPT, por ejemplo haciendo que ChatGPT responda incorrectamente a tu pregunta.
¿El Modo restringido está disponible en Plus, Pro, Free o Teams?
Todavía no. Está disponible para Enterprise, Edu, Healthcare y Teachers. Tenemos previsto ampliar su disponibilidad en los próximos meses.
¿El Modo restringido cambia lo que se registra en la plataforma de registros de la API de Compliance?
La plataforma de registros de la API de Compliance ofrece visibilidad detallada sobre el uso de aplicaciones, los datos compartidos y las fuentes conectadas. Estos registros no se ven afectados por el Modo restringido.