OpenAI:s nya modell överträffar Anthropics omtalade Mythos i cyberhottester

Brittiska säkerhetstester avslöjar oroväckande mönster

När Storbritanniens AI Security Institute (AISI) genomförde sina senaste säkerhetstester hade de en viktig fråga: Hur farliga blir de nya AI-modellerna egentligen? Svaret på GPT-5.5 är entydigt oroande.

Enligt Computer Sweden klarade OpenAI:s nya modell i genomsnitt 71,4 procent av de svåraste cybersäkerhetsuppgifterna i testsviten – praktiskt taget identiskt med Anthropics Mythos Preview som nådde 68,6 procent. Skillnaden ligger inom felmarginalen, vilket innebär att vi nu har två AI-modeller som presterar på samma höga hotbild-nivå.

Testerna omfattade 95 så kallade "Capture the Flag"-utmaningar inom kritiska säkerhetsområden: omvänd konstruktion, webbsäkerhet och kryptografi. Det här är samma typ av färdigheter som används av professionella penetrationstestare – och skadliga aktörer.

Teknisk kapacitet når kritisk tröskel

Vad som gör resultaten särskilt betydelsefulla är att GPT-5.5 lyckades med vissa avancerade moment som tidigare AI-modeller inte klarat överhuvudtaget. Vi ser alltså inte bara gradvis förbättring, utan kvalitativa språng i förmågan att genomföra sofistikerade cyberattacker.

Från ett systemutvecklingsperspektiv är det här fascinerande teknik – dessa modeller kan identifiera sårbarheter, analysera kod och konstruera angrep på sätt som tidigare krävde djup mänsklig expertis. Men fascinationen överskuggas av säkerhetsriskerna.

Sveriges utmaning: Balansera innovation och säkerhet

För Sverige innebär utvecklingen både möjligheter och akuta utmaningar. Våra cybersäkerhetsteam kan få tillgång till kraftfulla verktyg för att identifiera och åtgärda sårbarheter innan skadliga aktörer hittar dem. Samtidigt måste vi förbereda oss för att dessa samma kapaciteter kan användas emot oss.

Den svenska Myndigheten för samhällsskydd och beredskap (MSB) och Försvarets radioanstalt (FRA) behöver nu utvärdera hur våra nuvarande cybersäkerhetsstrategier står sig mot AI-assisterade angrepp. Det handlar inte längre om teoretiska risker – vi har konkreta bevis för att tekniken finns här idag.

Regulatoriska frågor kräver svar

Ett kritiskt spörsmål som testerna väcker är hur vi ska hantera tillgången till dessa modeller. Mythos Preview har redan uppmärksammats som problematisk ur säkerhetssynpunkt, och nu visar det sig att GPT-5.5 presterar på samma nivå.

Bör det finnas särskilda restriktioner för distribution av AI-modeller som når denna kapacitetsnivå? Hur kan vi säkerställa att de används för defensiva ändamål utan att hämma legitim säkerhetsforskning?

Dessa frågor blir ännu mer brännande när man betänker att utvecklingen inte stannar här. Om GPT-5.5 redan når dessa nivåer, vad kommer nästa generation att klara?

Proaktiv förberedelse nödvändig

För svenska organisationer innebär nyheten att cybersäkerhetsstrategier måste uppdateras med AI-hot i fokus. Detta inkluderar både skydd mot AI-assisterade angrepp och utvärdering av hur AI kan stärka det egna försvaret.

Tekniken utvecklas snabbare än våra säkerhetsramverk kan anpassas. Det kräver proaktivt tänkande och nära samarbete mellan myndigheter, näringsliv och forskningssamhället för att Sverige ska kunna navigera denna utveckling säkert.