GPT-5.5 de OpenAI rinde a la par con Claude Mythos Preview de Anthropic en las evaluaciones de seguridad ofensiva que ejecuta el UK AI Security Institute. La agencia ve esto como evidencia de una tendencia más amplia en capacidades de ataque impulsadas por IA.

El AI Security Institute (AISI) británico sometió a GPT-5.5 de OpenAI a una batería de pruebas de ciberataque. La conclusión: GPT-5.5 es el segundo modelo, tras Claude Mythos Preview, en completar de extremo a extremo una simulación multi-etapa de un ataque empresarial. En tareas aisladas de nivel experto, el modelo de OpenAI incluso superó al de Anthropic.

Para AISI, el panorama mayor es que las capacidades observadas por primera vez en Claude Mythos en abril no son un caso aislado, sino un subproducto de mejoras más amplias en autonomía, razonamiento y programación.

¿Cómo le fue a GPT-5.5 en las tareas expertas?

AISI evalúa modelos de IA con un set de 95 ejercicios capture-the-flag distribuidos en cuatro niveles de dificultad. Las tareas avanzadas, construidas con las firmas de ciberseguridad Crystal Peak Security e Irregular, cubren ingeniería inversa, desarrollo de exploits para distintas fallas de memoria, ataques criptográficos y desempaquetado de malware ofuscado.

Tasa de éxito promedio en tareas cibernéticas avanzadas. GPT-5.5 y Claude Mythos Preview quedan prácticamente empatados a nivel experto. Imagen: UK AISI
Tasa de éxito promedio en tareas cibernéticas avanzadas. GPT-5.5 y Claude Mythos Preview quedan prácticamente empatados a nivel experto. Imagen: UK AISI

En el nivel más alto "Experto", GPT-5.5 alcanza una tasa de éxito promedio de 71,4 por ciento, según AISI. Claude Mythos Preview queda en 68,6 por ciento. La brecha cae dentro del margen de error estadístico, pero GPT-5.5 podría ser el modelo más fuerte probado hasta ahora. Para comparar, GPT-5.4 anotó 52,4 por ciento y Claude Opus 4.7 quedó en 48,6 por ciento. Todos los modelos frontera actuales resuelven las tareas básicas desde al menos febrero de 2026.

Tras Mythos, GPT-5.5 también compromete una red completa

Las tareas aisladas miden habilidades individuales, pero los ataques reales requieren encadenar muchos pasos. Para capturar eso, AISI usa cyber ranges: entornos de red simulados con múltiples hosts, servicios y vulnerabilidades.

La simulación "The Last Ones" (TLO) cubre 32 pasos a lo largo de cuatro subredes y alrededor de 20 hosts. El agente de IA arranca sin credenciales y debe encontrar vulnerabilidades, robar credenciales, moverse lateralmente por la red y finalmente alcanzar una base de datos protegida. AISI estima que un experto humano tomaría unas 20 horas en completarlo.

GPT-5.5 resolvió TLO en su totalidad en 2 de 10 intentos. Claude Mythos Preview alcanzó la misma marca en 3 de 10. El rendimiento sigue escalando con compute de inferencia, dice AISI, y los mejores modelos aún no llegan a una meseta. Mientras más tokens gasta el modelo "pensando", más probable es que ejecute un hack exitoso.

Cantidad promedio de pasos completados en la simulación de red de 32 pasos The Last Ones, graficada contra el budget de tokens. Imagen: UK AISI
Cantidad promedio de pasos completados en la simulación de red de 32 pasos The Last Ones, graficada contra el budget de tokens. Imagen: UK AISI

Dicho eso, las pruebas no incluyeron defensores activos, ni monitoreo de seguridad, ni consecuencias por acciones que dispararían alarmas en el mundo real. Si GPT-5.5 o Mythos resistirían contra sistemas bien defendidos es una pregunta abierta. Pero contra redes mal protegidas, la capacidad está claramente ahí.

Una segunda simulación llamada "Cooling Tower", que modela un ataque a un sistema de control industrial, quedó fuera del alcance de GPT-5.5. Ningún modelo ha resuelto este escenario de 7 pasos todavía. Según AISI, GPT-5.5, igual que Mythos, tropezó en los pasos previos de TI y no en el sistema de control en sí.

Un jailbreak universal saltó todas las salvaguardas

Más allá de la capacidad bruta, AISI también probó las medidas de seguridad de GPT-5.5 para uso público. Los investigadores encontraron un jailbreak universal que funcionó en cada solicitud cibernética maliciosa que OpenAI marcó como bloqueada, incluyendo escenarios multi-paso de agentes. Tomó apenas seis horas desarrollarlo.

OpenAI luego empujó varias actualizaciones al sistema de seguridad, pero AISI no pudo verificar cuán bien resistió la configuración final por un problema en la versión desplegada. Es nueva evidencia de que los jailbreaks siguen siendo una debilidad seria en LLMs, incluso en los más capaces.

Una diferencia clave con Mythos: GPT-5.5 ya está disponible en ChatGPT y vía API, mientras Anthropic todavía limita a Claude Mythos a un grupo pequeño. Los resultados del AISI sugieren que Anthropic podría haber saltado esa capa extra de cautela. O quizás los críticos tienen razón y el rollout lento tiene menos que ver con ética de seguridad y más con limitaciones de compute de Anthropic.