Une agence gouvernementale britannique a découvert que le tout nouveau modèle d'intelligence artificielle d'OpenAI peut mener de manière autonome des cyberattaques complexes – et qu'il a résolu un défi de rétro-ingénierie en un peu plus de 10 minutes, alors qu'il aurait fallu environ 12 heures à un expert en sécurité humain.

L'AI Security Institute (AISI), un organisme de recherche au sein du Département des sciences, de l'innovation et de la technologie du Royaume-Uni, a publié jeudi des conclusions montrant que GPT-5.5 fait partie des modèles les plus puissants qu'il a évalués en termes de capacités cybernétiques offensives, le plaçant à peu près au même niveau que le réputé Claude Mythos d'Anthropic.

Le rapport a révélé que GPT-5.5 est le deuxième modèle à réussir le test le plus exigeant de l'AISI – une simulation d'attaque de réseau d'entreprise en 32 étapes appelée "The Last Ones" – en le faisant de manière autonome lors de deux tentatives sur 10. Le premier modèle à atteindre cette étape était Claude Mythos Preview d'Anthropic, qui a complété la simulation en trois essais sur 10.

La simulation de réseau d'entreprise, élaborée avec la société de cybersécurité SpecterOps, exige qu'un agent enchaîne la reconnaissance, le vol d'identifiants, le mouvement latéral à travers plusieurs forêts Active Directory, un pivot de chaîne d'approvisionnement via un pipeline CI/CD, et finalement l'exfiltration d'une base de données interne protégée – des étapes que l'AISI estime prendre environ 20 heures à un expert humain.

Le résultat le plus frappant concernait peut-être un casse-tête de rétro-ingénierie diaboliquement difficile. GPT-5.5 a résolu le défi – qui nécessitait la reconstruction du jeu d'instructions d'une machine virtuelle personnalisée, l'écriture d'un désassembleur à partir de zéro, et la récupération d'un mot de passe cryptographique par résolution de contraintes – en 10 minutes et 22 secondes, pour un coût de 1,73 $ en utilisation d'API. Un expert humain, utilisant des outils professionnels, a eu besoin d'environ 12 heures.

Sur la batterie de tâches de cybersécurité avancées de l'AISI, GPT-5.5 a atteint un taux de réussite moyen de 71,4 % sur le niveau "Expert" le plus difficile, devançant Mythos Preview à 68,6 % et dépassant significativement GPT-5.4 à 52,4 %.

Ces conclusions ont des implications importantes pour la trajectoire plus large du développement de l'IA. L'AISI a conclu que les performances de GPT-5.5 suggèrent que l'amélioration rapide des capacités cybernétiques pourrait faire partie d'une tendance générale plutôt qu'une percée isolée – et a averti que si la compétence cybernétique offensive émerge comme un sous-produit d'améliorations plus larges en matière de raisonnement, de codage et d'achèvement de tâches autonomes, alors de nouvelles avancées pourraient survenir rapidement.

Le rapport a également signalé des préoccupations importantes concernant les garde-fous de sécurité du modèle. Les chercheurs ont identifié un jailbreak universel qui a généré du contenu nuisible pour toutes les requêtes cybernétiques malveillantes testées, y compris dans des contextes multi-agents. L'attaque a nécessité six heures de red-teaming par des experts pour être développée. OpenAI a ensuite mis à jour son ensemble de mesures de protection, bien qu'un problème de configuration ait empêché l'AISI de vérifier l'efficacité de la version finale.

L'AISI a précisé que ses évaluations de capacités ont été menées dans un environnement de recherche contrôlé et ne reflètent pas nécessairement ce qui est accessible à un utilisateur ordinaire, notant que les déploiements publics incluent des mesures de protection et des contrôles d'accès supplémentaires.

Le rapport intervient dans un contexte préoccupant pour la cybersécurité britannique. L'enquête annuelle du gouvernement britannique sur les violations de cybersécurité (Cyber Security Breaches Survey), également publiée jeudi, a révélé que 43 % des entreprises ont subi une violation ou une attaque cybernétique au cours des 12 derniers mois.

En réponse, le gouvernement a annoncé un nouveau financement de 90 millions de livres sterling pour renforcer la cyber-résilience, et a déclaré qu'il allait de l'avant avec le projet de loi sur la cybersécurité et la résilience (Cyber Security and Resilience Bill) pour protéger les services essentiels. Les responsables ont également publié des lignes directrices exhortant les organisations à se préparer à une éventuelle augmentation des vulnérabilités logicielles nouvellement découvertes, l'IA accélérant la vitesse à laquelle les failles de sécurité peuvent être trouvées et transformées en armes.