El modelo de OpenAI centrado en la ciberseguridad, GPT-5.5 Cyber, exhibe capacidades de ataque autónomo similares a Claude Mythos de Anthropic, según pruebas realizadas por el Instituto de Seguridad de la IA (AISI) del gobierno del Reino Unido. GPT-5.5 Cyber, una variante de GPT-5.5 diseñada para proteger a las organizaciones, refleja a Claude Mythos Preview en su capacidad para realizar simulaciones de ciberataques complejas y de múltiples etapas, una tarea que, según estima el AISI, le llevaría a un humano aproximadamente 20 horas.

Las pruebas del AISI, que anteriormente incluyeron a Claude Mythos Preview, sometieron a GPT-5.5 Cyber a 95 tareas de ciberseguridad de "capturar la bandera" en cuatro niveles de dificultad. Si bien ambos modelos manejaron las tareas básicas con facilidad, GPT-5.5 Cyber superó a Claude Mythos en las tareas de nivel "Experto" más avanzadas, logrando una tasa de éxito promedio del 71.4% en comparación con el 68.6% de Anthropic. Estas tareas de nivel experto involucraron la investigación y explotación autónoma de vulnerabilidades contra objetivos realistas, requiriendo habilidades como ingeniería inversa, desarrollo de exploits y recuperación de claves.

El AISI destacó dos simulaciones: "Torre de Enfriamiento" y "Los Últimos". En "Los Últimos", una simulación de 32 pasos de una intrusión empresarial a través de cuatro subredes, Claude Mythos resolvió tres de cada diez intentos, mientras que GPT-5.5 Cyber completó dos. GPT-5.5 Cyber no logró resolver la simulación de "Torre de Enfriamiento", un ataque de siete pasos al sistema de control industrial que normalmente le toma a un experto 15 horas, un desafío que ningún modelo ha superado todavía.

Las pruebas se realizaron en entornos controlados que simulaban escenarios del mundo real con acceso a la red, pero sin defensas activas. Por lo tanto, el AISI no puede confirmar el éxito de GPT-5.5 contra objetivos bien protegidos.

El AISI sugiere que la rápida mejora de GPT-5.5 en las capacidades cibernéticas puede indicar una tendencia más amplia. A medida que las mejoras generales en la autonomía, el razonamiento y la programación a largo plazo mejoran la IA, se esperan más avances en las capacidades cibernéticas de los modelos.

Las evaluaciones anteriores del AISI de Claude Mythos incluyeron sondas basadas en chat, desafíos de capturar la bandera y simulaciones de ciberataques de varios pasos en entornos sin medidas de seguridad ni sanciones, lo que reveló la capacidad del modelo para atacar de forma autónoma a pequeñas empresas con protección deficiente.