GPT-5.5 égalise Mythos Preview dans les tests britanniques de cybersécurité, remettant en cause l’écart de battage

Des performances de plus en plus opérationnelles

L’un des détails les plus frappants du reportage concerne une tâche difficile consistant à créer un désassembleur pour décoder un binaire Rust. L’AISI a indiqué que GPT-5.5 avait résolu le défi en 10 minutes et 22 secondes sans assistance humaine, pour un coût API de 1.73 dollar. C’est un point de données compact, mais il en dit long : vitesse, autonomie et faible coût marginal évoluent dans une direction qui mérite une attention soutenue.

L’institut a également évalué les modèles avec « The Last Ones », une attaque simulée d’extraction de données en 32 étapes contre un réseau d’entreprise. GPT-5.5 a réussi 3 tentatives sur 10, contre 2 sur 10 pour Mythos Preview. Ars Technica a noté qu’aucun modèle précédent n’avait jamais réussi ce test ne serait-ce qu’une fois. Cela ne signifie pas que ces systèmes peuvent exécuter de manière fiable de telles attaques dans des environnements réels non contrôlés. Cela signifie qu’en environnements structurés conçus pour imiter de sérieuses opérations cyber, les modèles de pointe obtiennent désormais des résultats que les générations précédentes ne pouvaient pas atteindre du tout.

Les limites comptent toujours

Ces résultats ne racontent pas l’histoire d’une suprématie cyber de l’IA sans restriction. GPT-5.5 a encore échoué à la simulation plus difficile de l’AISI, « Cooling Tower », qui modélise une tentative de perturbation d’un logiciel de contrôle de centrale électrique. Tous les modèles déjà testés ont également échoué à ce benchmark. Cette limite encore non résolue est importante, car elle montre que la croissance des capacités est réelle, mais inégale. Les modèles peuvent désormais être nettement plus forts dans certaines classes de tâches offensives sans démontrer encore l’ensemble complet des capacités qui justifierait les affirmations les plus extrêmes.

Autrement dit, les nouveaux résultats s’opposent à la fois à la complaisance et au sensationnalisme. Ils suggèrent que la capacité cyber progresse rapidement dans toutes les familles de modèles, mais ils ne soutiennent pas l’idée que les systèmes actuels aient déjà résolu toutes les cibles difficiles dans la simulation d’attaque contre des infrastructures critiques.

Le débat sur la manière dont les entreprises parlent du risque

La comparaison de benchmark alimente aussi un débat distinct sur la stratégie de communication autour de l’IA. Ars Technica a souligné la critique du PDG d’OpenAI, Sam Altman, de ce qu’il a appelé un « marketing basé sur la peur » autour de certaines sorties restreintes. L’interprétation de l’AISI semble aller dans la même direction, en écrivant que Mythos Preview n’était probablement pas « une percée propre à un seul modèle », mais un sous-produit d’améliorations plus générales de l’autonomie, du raisonnement et du codage.

Cela ne signifie pas que les développeurs de modèles devraient cesser d’avertir sur les risques cyber. En fait, l’implication plus large pourrait être l’inverse. Si des capacités similaires apparaissent dans plusieurs systèmes de pointe, alors le débat politique devrait cesser de traiter les lancements isolés de modèles comme des événements exceptionnels et commencer à comprendre une tendance plus systémique. Le risque ne se limite pas au modèle de préversion d’une seule entreprise si la courbe de performance sous-jacente est partagée.

Pourquoi cela compte maintenant

L’importance réelle du résultat de GPT-5.5 n’est pas le droit de se vanter. C’est la preuve que la capacité cyber avancée se diffuse plus largement parmi les modèles leaders. Cela change la manière dont les laboratoires, les régulateurs et les utilisateurs d’entreprise devraient penser l’évaluation, le contrôle d’accès, les red team et la préparation aux incidents. Cela élève aussi le niveau des discussions empiriques sur la sécurité. Les entreprises peuvent formuler des affirmations spectaculaires sur l’unicité d’un modèle, mais les tests comparatifs fournissent de plus en plus un contrepoids à ces récits.

Pour l’instant, les éléments disponibles soutiennent une conclusion plus étroite mais néanmoins importante. GPT-5.5 a obtenu des performances à peu près équivalentes à Mythos Preview dans les évaluations cyber de l’AISI, l’a légèrement dépassé sur certaines mesures, et a suivi le schéma général de modèles de pointe devenant plus capables sur des tâches techniques prolongées. L’écart de battage semble se réduire. La courbe des capacités, en revanche, paraît toujours en hausse.

Cet article est basé sur un reportage d’Ars Technica. Lire l’article original.