GPT-5.5 догнал Mythos: оба прошли симуляцию атаки на сеть
UK AISI протестировала GPT-5.5 на тех же сценариях, что и Claude Mythos Preview. Обе модели первыми в мире прошли 32-шаговую корпоративную атаку. Что это значит для cybersecurity.
Влад Макаровпроверил и опубликовал
Двадцать часов работы профессионального пентестера за один прогон без участия человека. Это не маркетинговый слоган OpenAI — это вывод британского AI Security Institute, который только что повторил с GPT-5.5 ту же оценку, что весной устроил Claude Mythos Preview. Результат: модель OpenAI стала второй в истории, прошедшей 32-шаговую симуляцию корпоративной атаки от начала до конца. И первой — в которой такая способность отгружается в публичном API.
Что произошло
1 мая UK AI Security Institute (AISI) опубликовал подробный разбор кибернаступательных возможностей GPT-5.5 — флагманской модели OpenAI, которую Сан-Франциско выпустил в публичный доступ за две недели до этого. Институт работает по той же методике, что применяли к Claude Mythos Preview в апреле: набор из 95 capture-the-flag задач четырёх уровней сложности плюс полноценный «киберполигон» — сеть из ~20 хостов в четырёх подсетях с готовой цепочкой уязвимостей.
Год назад лучшие фронтир-модели справлялись с базовыми CTF и буксовали на всём, что требовало многошагового планирования. С августа 2025 года кривая прогресса ушла почти вертикально вверх: каждые два-три месяца появляется модель, которая берёт планку, которую предыдущая не могла даже разглядеть. Mythos Preview в апреле стала первой, кто прошёл сценарий «The Last Ones» полностью. GPT-5.5 — вторая, и разрыв между ними укладывается в статистическую погрешность.
Цифры на экспертных задачах
На самых сложных CTF-задачах — это reverse engineering, эксплуатация ошибок памяти, криптографические атаки и распаковка обфусцированного malware — GPT-5.5 берёт 71,4% средней успешности. Mythos Preview — 68,6%. Все остальные участники за этим разрывом.
| Модель | Expert CTF (avg pass rate) | Дата релиза |
|---|---|---|
| GPT-5.5 | 71,4% | Апрель 2026 |
| Claude Mythos Preview | 68,6% | Апрель 2026 |
| GPT-5.4 | 52,4% | Февраль 2026 |
| Claude Opus 4.7 | 48,6% | Апрель 2026 |
| Claude Opus 4.6 | ~38% | Январь 2026 |
| GPT-5.1 Codex | ~32% | Декабрь 2025 |
Цифры построены на 5 прогонах с бюджетом до 50 миллионов токенов на задачу. Всё, что сложнее «практитионера», ещё в феврале не покорялось ни одной модели; теперь обе фронтир-модели берут две трети.
Базовые CTF (apprentice, non-expert) с февраля 2026 года решает любая фронтир-модель в 95–99% случаев. Это уже не вопрос capability — это вопрос разворачивания.
«The Last Ones»: 32 шага сетевой атаки
Capture-the-flag — это лабораторная работа: одна задача, одна слабость, один флаг. Реальная атака устроена иначе: разведка → начальный доступ → повышение привилегий → латеральное перемещение → закрепление → exfiltration. AISI собрал «The Last Ones» (TLO) ровно для этого — 32 шага через четыре подсети, начальная позиция без credentials, конечная цель — защищённая база данных. По оценке института, на ручное прохождение нужно около 20 часов работы пентестера-эксперта.
Mythos Preview прошёл TLO полностью в 3 запусках из 10 (среднее — 22 шага из 32). GPT-5.5 — в 2 из 10. Ни одна другая модель не прошла его до конца ни разу.
Главное наблюдение AISI — производительность не упирается в потолок compute. До бюджета в 100 миллионов токенов и Mythos, и GPT-5.5 продолжают набирать шаги, и кривая не выходит на плато. Чем больше модель «думает», тем выше шанс довести атаку до финального флага. Это и есть inference scaling в чистом виде — но применённый к offensive security, а не к олимпиадной математике.
Чего обе модели не смогли
Параллельно AISI прогнал на обеих моделях сценарий «Cooling Tower» — атаку на промышленную систему управления (ICS/OT). 7 шагов, никакой ИТ-сложности по меркам TLO. Ни Mythos, ни GPT-5.5 его не взяли. Любопытно, что обе модели спотыкаются не на финальной части с контроллером, а на первых ИТ-шагах подхода к нему. Институт делает осторожный вывод: это не значит, что модели плохи в OT — они просто не дошли до интересного места. Проверять придётся отдельно.
Второе важное «но» — все полигоны AISI стерильные. Никаких активных защитников, никакого SIEM, никаких penalty за действия, поднимающие алерты. На реальных корпоративных сетях с EDR, sandbox-проверками логов и реакцией SOC ситуация может выглядеть иначе. Институт честно признаёт это ограничение и обещает в следующих циклах оценок включать defended environments.
Универсальный jailbreak за 6 часов
Параллельно с capability-тестом AISI прогнал и safety-проверку GPT-5.5 в публичной конфигурации. Результат для OpenAI неприятный: исследователи нашли универсальный jailbreak, который обходил все safety-фильтры на cyber-запросах, включая многошаговые агентные сценарии. Время разработки — 6 часов.
OpenAI выкатила несколько последовательных апдейтов safety-системы, но AISI не смог окончательно проверить, насколько финальная конфигурация устойчива — мешала ошибка конфигурации в развёрнутой версии. История хорошо знакомая: jailbreak'и остаются хронической слабостью LLM, и чем мощнее модель в наступательных задачах, тем чувствительнее эта дыра.
Главная разница: доступность
Ключевой контраст между Mythos и GPT-5.5 не в бенчмарках. Он в том, кто их получает в руки.
Mythos Preview Anthropic держит на коротком поводке. Доступ ограничен консорциумом из ~40 партнёров, преимущественно из cybersecurity и госсектора. Никаких API-ключей, никакого широкого rollout. Compute Anthropic, по оценкам аналитиков, не позволяет выкатить модель на массовую аудиторию — да и safety-команда сопротивляется.
GPT-5.5 OpenAI просто запустила в публичном ChatGPT и API с двукратным повышением API-цены к GPT-5.4. То есть способность автономно скомпрометировать слабо защищённую корпоративную сеть теперь доступна за условные $20–30/M output-токенов любому, у кого есть кредитная карта.
AISI делает из этого осторожный, но недвусмысленный вывод: capability gap между фронтир-моделями исчезает, и cyber-возможности начинают появляться как побочный эффект общего роста рассуждения и автономности — а не как результат специальной тренировки. Anthropic и OpenAI пришли к близкому уровню параллельно, разными путями. Дальше будут ещё.
Что это значит для защитников
Базовая cyber-гигиена внезапно становится критичной не в риторическом, а в операционном смысле. Если модель уровня GPT-5.5 умеет за 100 миллионов токенов («думать» примерно сутки) автономно пройти полную цепочку атаки на средне-защищённую корпоративную сеть, то «у нас не хватит атакующих с такой квалификацией» больше не аргумент. Стоимость разворачивания пентестера-эквивалента снижается до стоимости compute.
Ни одна модель пока не показала способность преодолевать активные защитные системы — реальный EDR, SIEM с человеком в петле, network segmentation с микросегментами. Разрыв между «полигоном AISI» и «реальной корпоративной сетью» всё ещё значимый. Но direction of travel понятен: на горизонте 6–12 месяцев следующие фронтир-модели начнут брать defended environments. Британский NCSC уже выпустил совместное руководство с AISI о том, как защитникам готовиться к этому шагу.
Что дальше
В ближайшие месяцы AISI обещает обновить свою методологию: добавить полигоны с активной защитой, мониторингом и SOC-эмуляцией. Это даст возможность отделить «модели, которые умеют атаковать беззащитные системы» от «моделей, которые умеют это делать против реальной обороны». Сейчас все фронтир-модели сидят в первой категории, и никто пока не знает, насколько большой разрыв между ней и второй.
Параллельно стоит ждать новых моделей — у Google готовится Gemini 3 Pro Thinking, у DeepSeek и Qwen свои reasoning-флагманы. Каждая из них почти наверняка пройдёт тот же бенчмарк, и каждая, скорее всего, поднимет планку. Главный вывод апреля-мая 2026 года: эпоха, когда «AI пишет фишинговые письма» как worst-case сценарий — закончилась. Сейчас фронтир-модели проходят корпоративные сети целиком, и это уже не теория.
