Cybersecurity: GPT-5.5 und Claude Mythos sind laut britischer Sicherheitsbehörde fast gleichauf

OpenAIs GPT-5.5 erreicht bei den Cyber-Evaluierungen des britischen AI Security Institute ein ähnliches Niveau wie Anthropics Claude Mythos Preview. Die Behörde sieht darin einen breiteren Trend bei KI-gestützten Angriffsfähigkeiten.

Das britische AI Security Institute (AISI) hat OpenAIs GPT-5.5 auf seine Cyber-Angriffsfähigkeiten getestet. Das Ergebnis: GPT-5.5 ist nach Claude Mythos Preview das zweite Modell, das eine mehrstufige Simulation eines Unternehmensangriffs vollständig lösen konnte. Bei isolierten Sicherheitsaufgaben auf Expertenniveau schneidet GPT-5.5 sogar geringfügig besser ab als Anthropics Modell.

Für das AISI ist der entscheidende Befund: Die im April bei Claude Mythos beobachteten Fähigkeiten sind offenbar kein Einzelfall, sondern Teil eines breiteren Trends. Cyber-Angriffsfähigkeiten entstünden als Nebenprodukt allgemeiner Verbesserungen bei Autonomie, Reasoning und Coding, so die Behörde.

GPT-5.5 übertrifft Claude Mythos bei isolierten Expertenaufgaben knapp

Das AISI testet KI-Modelle mit einer Suite von 95 sogenannten Capture-the-Flag-Aufgaben in vier Schwierigkeitsstufen. Die fortgeschrittenen Aufgaben, entwickelt in Zusammenarbeit mit den Cybersicherheitsfirmen Crystal Peak Security und Irregular, umfassen unter anderem Reverse Engineering, Exploit-Entwicklung für verschiedene Speicherfehler, kryptografische Angriffe und das Entpacken obfuskierter Malware.

Auf dem höchsten Schwierigkeitsgrad ("Expert") erreicht GPT-5.5 laut AISI eine durchschnittliche Erfolgsrate von 71,4 Prozent. Claude Mythos Preview kommt auf 68,6 Prozent. Der Abstand liegt innerhalb der statistischen Fehlertoleranz, GPT-5.5 könnte aber das stärkste bisher getestete Modell sein. Zum Vergleich: GPT-5.4 erreichte 52,4 Prozent, Claude Opus 4.7 lag bei 48,6 Prozent. Grundlegende Aufgaben haben alle aktuellen Frontier-Modelle seit mindestens Februar 2026 vollständig gelöst.

Nach Mythos löst auch GPT-5.5 eine vollständige Netzwerk-Angriffssimulation

Die isolierten Aufgaben testen einzelne Fähigkeiten. Reale Angriffe erfordern jedoch das Verketten vieler Schritte. Dafür nutzt das AISI sogenannte Cyber Ranges: simulierte Netzwerkumgebungen mit mehreren Hosts, Diensten und Schwachstellen.

Die Simulation "The Last Ones" (TLO) umfasst 32 Schritte über vier Subnetze und rund 20 Hosts. Der KI-Agent startet ohne Zugangsdaten und muss eigenständig Schwachstellen finden, Zugangsdaten stehlen, sich durch das Netzwerk bewegen und schließlich eine geschützte Datenbank abgreifen. Menschliche Experten würden dafür laut AISI etwa 20 Stunden benötigen.

GPT-5.5 löste TLO in 2 von 10 Versuchen vollständig. Claude Mythos Preview hatte dies zuvor in 3 von 10 Versuchen geschafft. Die Leistung skaliert laut AISI weiter mit dem eingesetzten Inference-Compute, ein Plateau sei bei den besten Modellen noch nicht erreicht. Je mehr Token verbraucht werden, also je länger das Modell "nachdenkt", desto wahrscheinlicher wird der erfolgreiche Hack.

Allerdings gab es bei den Tests keine aktiven Verteidiger, kein Sicherheitsmonitoring und keine Konsequenzen für Aktionen, die in der Realität Alarme auslösen würden. Ob GPT-5.5 oder Mythos auch gegen gut verteidigte Systeme bestehen könnten, lässt sich aus den Ergebnissen nicht ableiten. Sicher reicht es aber für schlecht geschützte Netzwerke.

Eine zweite Simulation namens "Cooling Tower", die einen Angriff auf ein industrielles Steuerungssystem simuliert, konnte GPT-5.5 hingegen nicht lösen. Kein bisheriges Modell hat diese 7-Schritte-Simulation geschafft. GPT-5.5 scheiterte laut AISI allerdings, ebenso wie Mythos, an den vorgelagerten IT-Schritten, nicht an der eigentlichen Steuerungstechnik.

Universeller Jailbreak umging alle Sicherheitsvorkehrungen

Neben den reinen Fähigkeitstests evaluierte das AISI auch die Sicherheitsvorkehrungen von GPT-5.5 für den öffentlichen Einsatz. Dabei identifizierten Experten einen universellen Jailbreak, der bei sämtlichen vom Hersteller bereitgestellten bösartigen Cyber-Anfragen funktionierte, auch in mehrstufigen agentenbasierten Szenarien. Die Entwicklung dieses Jailbreaks dauerte sechs Stunden.

OpenAI nahm daraufhin mehrere Aktualisierungen am Sicherheitssystem vor. Allerdings konnte das AISI die Wirksamkeit der finalen Konfiguration wegen eines Konfigurationsproblems in der bereitgestellten Version nicht verifizieren. Jailbreaks sind und bleiben eine massive Cybersecurity-Schwachstelle bei LLMs, selbst bei den stärksten Modellen.

Der Unterschied zu Mythos: GPT-5.5 ist in ChatGPT und via API bereits verfügbar, während Anthropic Claude Mythos weiter nur einem ausgewählten Kreis zur Verfügung stellt. Der AISI-Test zeigt, dass sich Anthropic diese zusätzliche Schutzvorkehrung wohl hätte sparen können; oder Kritiker haben doch recht, und der verzögerte Rollout hat mehr mit Anthropics Mangel an Rechenleistung zu tun als mit einem Berufsethos.