Das britische AI Safety Institute hat OpenAIs GPT-5.5 einem harten Cyber-Stresstest unterzogen. Das Ergebnis: Das Modell schliesst auf Anthropics Mythos auf – und löst die nächste Welle von Sicherheitsfragen aus. Was Schweizer CISOs jetzt wissen müssen.
Mit GPT-5.5 erreicht ein zweites Frontier-Modell das Cyber-Offensiv-Niveau von Mythos – defensive Vorbereitung muss sich an der ganzen Modellklasse ausrichten, nicht mehr an einzelnen Anbietern.
Das AI Safety Institute (AISI) – die staatliche KI-Sicherheitsbehörde Grossbritanniens – hat OpenAIs neues Modell GPT-5.5 einer harten Cyber-Prüfung unterzogen. Das Ergebnis wirft ein neues Licht auf die Bedrohungslage: GPT-5.5 erreicht in offensiven Cyber-Tasks dieselbe Liga wie Anthropics geheimes Modell Mythos – und schliesst damit eine Lücke, die seit Wochen für Nervosität bei Behörden und Banken sorgt.
Die Veröffentlichung am 30. April war kein gewöhnlicher Benchmark-Bericht. Sie ist die zweite öffentliche Cyber-Evaluation überhaupt, in der ein Frontier-Modell die anspruchsvollste Test-Suite des AISI knackt. Was das konkret heisst und warum die Schweizer Finanzaufsicht jetzt genauer hinschauen sollte, liest du hier.
Das Herzstück der AISI-Evaluation ist eine Test-Range namens «The Last Ones» – ein simulierter, 32-stufiger Angriff auf ein virtuelles Firmennetzwerk. Eine Aufgabe, für die ein menschlicher Cyber-Experte rund 20 Stunden braucht. Bisher hatte nur ein Modell diese Kette eigenständig durchgespielt: Claude Mythos Preview – in 3 von 10 Versuchen.
Mit GPT-5.5 hat nun ein zweites Modell aus einem anderen Labor die Schwelle durchbrochen. OpenAIs Frontier schafft den Durchgang in 2 von 10 Versuchen. Auf den Expert-Tier-Aufgaben des AISI – einer Sammlung kurzer, harter Cyber-Aufgaben auf dem Niveau erfahrener Penetration-Tester – liegt GPT-5.5 mit einer Trefferquote von 71,4 % sogar leicht vor Mythos Preview (68,6 %).
Der Sprung zwischen GPT-5.4 und GPT-5.5 ist also massiv – rund 19 Prozentpunkte in einer einzigen Modellgeneration.
Die spannendere Beobachtung steckt in der Einordnung des AISI selbst: Offensive Cyber-Fähigkeiten entstehen nicht primär, weil die Labore explizit darauf trainieren. Sie entstehen als Nebenprodukt allgemeiner Fortschritte in Long-Horizon-Planung, Reasoning und Coding. Jedes Modell, das besser über lange agentische Aufgaben hinweg denkt, wird damit auch zwangsläufig zu einem besseren simulierten Angreifer.
Wenn Cyber-Skill als Nebeneffekt von Long-Horizon-Autonomie kommt, sollten weitere Sprünge in den nächsten Modellen erwartet werden. – AI Safety Institute, 30. April 2026
Das hat eine unangenehme Konsequenz: Defensive Vorbereitungen können nicht mehr modellweise geplant werden. Was im Mai noch das Niveau von Mythos und GPT-5.5 ist, könnte im Sommer schon der Standard kleinerer Open-Weight-Modelle sein.
Auf der Sicherheits-Seite gibt es zwei Schlagzeilen, die zusammengehören. Erstens: AISI-Red-Teamer fanden in nur sechs Stunden einen Universal-Jailbreak, der alle vom Institut getesteten Cyber-Anfragen aus GPT-5.5 herausholte – auch in mehrstufigen agentischen Settings. Zweitens: OpenAI hat darauf reagiert und das Safeguard-System überarbeitet. Wegen einer Konfigurationspanne in der ans AISI gelieferten Version konnte das Institut den Fix aber nicht final verifizieren.
Konkret heisst das: GPT-5.5 ist mit hoher Wahrscheinlichkeit weniger ausbruchssicher, als die offiziell veröffentlichte Version vermuten lässt – und Anthropics Mythos hat ein vergleichbares Profil. Beide Modelle sind in den USA und Grossbritannien deshalb nicht frei erhältlich, sondern nur über kontrollierte Enterprise- und Behörden-Kanäle.
Die Schweiz ist von dieser Lage doppelt betroffen. Die FINMA hatte den Schweizer Finanzplatz bereits Ende April vor Mythos-Risiken gewarnt und Swisscoms Threat Radar entsprechend ergänzt. Mit der AISI-Evaluation ist nun klar: Diese Warnung gilt nicht mehr nur für ein einzelnes Modell, sondern für eine ganze Klasse von Frontier-LLMs.
Für Schweizer CISOs heisst das vor allem dreierlei:
AISI hat angekündigt, weitere Modelle nach demselben Schema zu testen. Spannend wird, wann das erste Open-Weight-Modell – etwa aus China – die Schwelle zum erfolgreichen «Last Ones»-Durchgang knackt. Sobald das passiert, ist der Mythos-Vorsprung als Defensivargument vom Tisch und die Diskussion verschiebt sich endgültig in Richtung Hardening, Detection und regulatorischer Leitplanken.
Bis dahin gilt: Die zwei Modelle, die heute Cyber-Operationen auf Expertenniveau durchspielen können, kommen aus San Francisco. Beide stehen unter Aufsicht. Beide sind in Europa nur über Enterprise-Verträge erhältlich. Und beide werden in den nächsten Wochen wieder Massstäbe setzen – nicht nur für Angreifer, sondern auch für die, die ihnen einen Schritt voraus sein wollen.
Mit GPT-5.5 erreicht ein zweites Frontier-Modell das Cyber-Offensiv-Niveau von Mythos – defensive Vorbereitung muss sich an der ganzen Modellklasse ausrichten, nicht mehr an einzelnen Anbietern.
Anthropic und OpenAI haben am selben Tag konkurrierende Enterprise-Vehikel mit Wall Street verkündet. Anthropic baut mit Blackstone, Goldman und Hellman & Friedman eine 1,5-Mrd.-Firma; OpenAI startet mit TPG, Bain und SoftBank «The Deployment Company» mit 10 Mrd. Bewertung – und garantiert Investoren 17,5% Rendite pro Jahr.
Beide Labs schalten die KI-Beratungsindustrie aus und verkaufen ein Stück ihrer Enterprise-Marge an Private-Equity-Häuser, um direkten Zugang zu deren Portfolio-Firmen zu bekommen.
OpenAI aktiviert für Free-Konten standardmässig Marketing-Cookies. Cookie-IDs und E-Mail-Adressen wandern an Werbepartner – Plus- und Enterprise-Accounts bleiben verschont. Was das für dich heisst und wie du den Schalter umlegst.
OpenAI dreht den Datenschutz-Default um: Free-Nutzer werden ohne aktive Zustimmung zur Werbe-Pipeline – Plus und Enterprise nicht.
Anthropic hat Claude Security als Public Beta für Enterprise-Kunden gestartet. Das auf Opus 4.7 basierende Tool scannt Code-Repositories, validiert Schwachstellen und liefert Patch-Vorschläge – die direkt in Claude Code übernommen werden können. CrowdStrike, Microsoft Security, Palo Alto, SentinelOne, TrendAI und Wiz integrieren parallel Opus 4.7.
Wenn Mythos die Offensive industrialisiert, ist Claude Security die Defensive – Anthropics Antwort auf die eigene Zero-Day-Welle und ein neuer Standard für Software-Security-Workflows in 2026.
