GPT-5.5 OpenAI Menyamai Mythos Claude dalam Kemampuan Serangan Siber: Institut Keamanan AI

Singkatnya

• GPT-5.5 dapat secara otomatis menjalankan serangan siber yang canggih, menyelesaikan simulasi jaringan perusahaan 32 langkah dan memecahkan teka-teki keamanan selama 12 jam hanya dalam 10 menit.
• Kemampuan AI ofensif dalam bidang siber sedang berkembang pesat di kalangan pengembang, dengan AISI memperingatkan bahwa kemajuan lebih lanjut bisa datang secara berurutan dengan cepat.
• Para peneliti menemukan jailbreak yang sepenuhnya melewati pengaman keselamatan GPT-5.5, menimbulkan kekhawatiran.

Sebuah lembaga pemerintah Inggris menemukan bahwa model kecerdasan buatan terbaru dari OpenAI dapat secara otomatis melakukan serangan siber yang kompleks—dan bahwa model tersebut memecahkan tantangan rekayasa balik dalam waktu lebih dari 10 menit, yang memakan waktu sekitar 12 jam bagi seorang ahli keamanan manusia. Institut Keamanan AI (AISI), sebuah badan riset di dalam Departemen Ilmu Pengetahuan, Inovasi, dan Teknologi Inggris, menerbitkan temuan pada hari Kamis yang menunjukkan bahwa GPT-5.5 termasuk model terkuat yang pernah dievaluasi untuk kemampuan siber ofensif, menempatkannya setara dengan Claude Mythos yang terkenal dari Anthropic. Laporan tersebut menemukan bahwa GPT-5.5 adalah model kedua yang menyelesaikan ujian paling menuntut dari AISI—yaitu serangan simulasi jaringan perusahaan 32 langkah yang disebut “The Last Ones”—melakukannya secara otomatis dalam dua dari 10 percobaan. Model pertama yang mencapai tonggak tersebut adalah Claude Mythos Preview dari Anthropic, yang menyelesaikan simulasi dalam tiga dari 10 percobaan.

Simulasi jaringan perusahaan, yang dibangun bersama perusahaan keamanan siber SpecterOps, membutuhkan agen untuk menggabungkan pengintaian, pencurian kredensial, pergerakan lateral melintasi beberapa hutan Active Directory, pivot rantai pasokan melalui pipeline CI/CD, dan akhirnya eksfiltrasi basis data internal yang dilindungi—langkah-langkah yang diperkirakan AISI akan memakan waktu sekitar 20 jam bagi seorang ahli manusia.  Hasil yang paling mencolok melibatkan teka-teki rekayasa balik yang sangat sulit. GPT-5.5 menyelesaikan tantangan tersebut—yang memerlukan rekonstruksi set instruksi mesin virtual khusus, menulis disassembler dari awal, dan memulihkan kata sandi kriptografi melalui penyelesaian kendala—dalam 10 menit dan 22 detik, dengan biaya penggunaan API sebesar $1,73. Seorang ahli manusia, menggunakan alat profesional, membutuhkan sekitar 12 jam. Dalam rangkaian tugas keamanan siber tingkat lanjut dari AISI, GPT-5.5 mencapai tingkat keberhasilan rata-rata sebesar 71,4% pada tingkat “Ahli” yang paling sulit, mengungguli Mythos Preview yang mencapai 68,6% dan secara signifikan melampaui GPT-5.4 yang mencapai 52,4%.

Temuan ini membawa implikasi tajam terhadap arah perkembangan AI secara umum. AISI menyimpulkan bahwa kinerja GPT-5.5 menunjukkan bahwa peningkatan cepat dalam kemampuan siber mungkin merupakan bagian dari tren umum daripada terobosan yang terisolasi—dan memperingatkan bahwa jika keterampilan siber ofensif muncul sebagai produk sampingan dari peningkatan yang lebih luas dalam penalaran, pengkodean, dan penyelesaian tugas otomatis, maka kemajuan lebih lanjut bisa datang secara berurutan dengan cepat. Laporan ini juga menyoroti kekhawatiran besar tentang pengaman keselamatan model. Para peneliti mengidentifikasi jailbreak universal yang memunculkan konten berbahaya di semua query siber jahat yang diuji, termasuk dalam pengaturan agen multi-putaran. Serangan tersebut memerlukan waktu enam jam dari tim red-teaming ahli untuk dikembangkan. OpenAI kemudian memperbarui sistem pengamannya, meskipun sebuah masalah konfigurasi mencegah AISI memverifikasi apakah versi akhir tersebut efektif. AISI memperingatkan bahwa evaluasi kemampuan mereka dilakukan dalam lingkungan riset terkendali dan tidak selalu mencerminkan apa yang dapat diakses oleh pengguna biasa, dengan catatan bahwa penerapan publik mencakup pengamanan dan kontrol akses tambahan. Laporan ini muncul di tengah kekhawatiran terhadap keamanan siber Inggris. Survei Pelanggaran Keamanan Siber Tahunan pemerintah Inggris, yang juga diterbitkan hari Kamis, menemukan bahwa 43% bisnis mengalami pelanggaran atau serangan siber dalam 12 bulan terakhir. Sebagai tanggapan, pemerintah mengumumkan dana baru sebesar £90 juta untuk meningkatkan ketahanan siber, dan mengatakan bahwa mereka akan melanjutkan dengan RUU Keamanan dan Ketahanan Siber untuk melindungi layanan penting. Pejabat juga menerbitkan panduan yang mendesak organisasi untuk mempersiapkan kemungkinan lonjakan kerentanan perangkat lunak yang baru ditemukan seiring AI mempercepat kecepatan di mana celah keamanan dapat ditemukan dan digunakan sebagai senjata.