OpenAI enthüllt GPT-5.5-Cyber, um das automatisierte Patching zu revolutionieren

OpenAI verschärft das KI-Wettrüsten im Bereich der Cybersicherheit mit der vollständigen Veröffentlichung von GPT-5.5-Cyber erheblich – einem spezialisierten Modell, das darauf ausgelegt ist, bestehende Branchen-Benchmarks zu übertreffen. Indem OpenAI über die bloße Erkennung von Schwachstellen hinausgeht und zur automatisierten Patch-Generierung übergeht, zielt das Unternehmen darauf ab, die kritische Lücke zwischen dem Aufspüren von Fehlern und deren Behebung zu schließen.

Benchmarking-Erfolg: GPT-5.5-Cyber vs. Mythos

Die Veröffentlichung von GPT-5.5-Cyber markiert einen wichtigen Meilenstein in der Leistung spezialisierter LLMs. Laut OpenAI setzt das neue Modell neue Maßstäbe bei kritischen Sicherheits-Benchmarks und übertrifft insbesondere Mythos 5 von Anthropic. Im CyberGym-Benchmark, der die Fähigkeit eines Agenten misst, bekannte Schwachstellen zu reproduzieren, erreichte GPT-5.5-Cyber einen Wert von 85,6 % und übertraf damit die 83,8 % von Mythos 5 sowie die 81,8 % des Standard-GPT-5.

Noch beeindruckender ist die Leistung bei ExploitGym, wo GPT-5.5-Cyber 39,5 % erreichte – fast das Doppelte der 25,95 %, die das Basismodell GPT-5 erzielte. Beim SEC-bench Pro, der die langfristige Entdeckung von Schwachstellen bewertet, erreichte das Modell 69,8 % und behauptete damit einen deutlichen Vorsprung gegenüber Claude Opus 4 (73,1 % in CyberGym) und früheren Iterationen. Diese Zahlen deuten darauf hin, dass GPT-5.5-Cyber speziell auf die nuancierte Logik abgestimmt ist, die in der offensiven und defensiven Sicherheitsforschung erforderlich ist.

Den Kreislauf mit Codex Security schließen

Eine zentrale Komponente der Cybersicherheitsinitiative Daybreak ist das aktualisierte Codex Security Plugin. Während sich viele Tools ausschließlich auf das Scannen konzentrieren, verwaltet das aktualisierte Codex Security die gesamte Pipeline von der Entdeckung bis zur Patch-Generierung. Seit der Research Preview im März hat das Plugin über 30 Millionen Commits in 30.000 Codebasen gescannt, was zu 500.000 automatisch markierten Fehlerbehebungen führte.

Das Plugin fungiert als virtueller Sicherheitsingenieur, führt Tiefenscans ganzer Codebasen durch, analysiert Angriffspfade und prüft, ob verwundbarer Code tatsächlich erreichbar ist. Entscheidend ist, dass es moderne Entwickler-Workflows unterstützt, indem es Ergebnisse über SARIF-Dateien oder CodeQL-Abfragen exportiert. Um „halluzinierte“ Sicherheitsfixes zu verhindern, betont OpenAI, dass menschliche Ingenieure jede Änderung weiterhin absegnen müssen.

Ein globales Verteidigungs-Ökosystem

OpenAI baut dies nicht isoliert auf, sondern konstruiert ein massives Partnernetzwerk über das Daybreak Cyber Partner Program. Das Programm umfasst Branchenriesen wie CrowdStrike, Cisco, Cloudflare, Palo Alto Networks, IBM und SentinelOne. Diese Unternehmen können GPT-5.5 mit „Trusted Access for Cyber“ direkt in ihre proprietären Sicherheitsprodukte integrieren.

Darüber hinaus erstreckt sich die Initiative auf den öffentlichen Sektor und die Stabilität von Open-Source-Projekten. OpenAI hat „Trusted Access“-Partnerschaften mit Regierungen geschlossen, darunter Australien, Kanada, Frankreich, Deutschland, Japan und das Vereinigte Königreich. An der Open-Source-Front arbeitet die „Patch the Planet“-Initiative – in Zusammenarbeit mit Trail of Bits und HackerOne – bereits an kritischen Projekten wie cURL, Go und Python, um das Fundament des Internets zu sichern.

Die wichtigsten Erkenntnisse

  • Überlegene Benchmarks: GPT-5.5-Cyber führt wichtige Branchentests wie CyberGym und ExploitGym an und übertrifft sowohl Mythos von Anthropic als auch Standard-GPT-5-Modelle.
  • End-to-End-Automatisierung: Das Codex Security Plugin automatisiert den Übergang von der Entdeckung von Schwachstellen zur Patch-Generierung und unterstützt Tiefenscans sowie Angriffspfadanalysen.
  • Nur geprüfter Zugriff: Um Risiken zu minimieren, ist das hochgradig permissive GPT-5.5-Cyber-Modell auf verifizierte Verteidiger unter strenger Überwachung und durch Sicherheitsleitplanken (Guardrails) beschränkt.