OpenAI hat der Europäischen Union Zugang zu einer spezialisierten Version des Modells GPT-5.5-Cyber gewährt, die explizit auf Cybersicherheitsaufgaben ausgerichtet ist. Dieses Ereignis besticht weniger durch den reinen Transfer als vielmehr durch die Details der architektonischen Anpassung und die Evaluierungsmethodik, die den Ansatz des Unternehmens deutlich von der vorsichtigeren Strategie von Anthropic abheben.
Das Modell basiert auf einer Mixture-of-Experts-Architektur mit einer Gesamtparameterzahl von rund 1,2 Billionen, wobei 12 aktive Experten mit jeweils 120 Milliarden Parametern für spezifische Bedrohungsklassen zuständig sind. Die Feinabstimmung erfolgte anhand synthetischer Angriffsdatensätze auf Basis des MITRE ATT&CK-Frameworks, wobei eine Variante von RLHF zum Einsatz kam, die durch das Feedback spezialisierter Analyse-Agenten verstärkt wurde. Im Ergebnis erzielt das Modell beim Benchmark zur Erkennung von MITRE-Techniken eine Zero-Shot-Genauigkeit von 94,7 %, was einer Steigerung von 11 Prozentpunkten gegenüber der Vorgängerversion GPT-5 entspricht.
Die Evaluierungsmethodik wirft jedoch Fragen auf: Die Tests wurden vorwiegend mit internen Datensätzen von OpenAI und nicht mit vollständig unabhängigen, öffentlichen Daten durchgeführt. Zudem fehlen Daten aus Ablationsstudien, die den spezifischen Beitrag der einzelnen Feinabstimmungskomponenten belegen würden. Dies erschwert die Beurteilung, inwieweit die Verbesserungen tatsächlich auf die Cyberspezialisierung und nicht lediglich auf die allgemeine Skalierung zurückzuführen sind.
Im Vergleich zur parallelen Entwicklung von Anthropic am Modell Mythos, das im April 2026 vorgestellt wurde, klaffen die Ansätze fundamental auseinander. Während Anthropic den Fokus auf eine mehrstufige konstitutionelle Überprüfung legt und detaillierte Berichte über Fehlermodi veröffentlicht, beschränkt sich OpenAI auf aggregierte Kennzahlen. Diese Diskrepanz spiegelt unterschiedliche Auffassungen darüber wider, wie die Grenzen von Modellen für kritische Infrastrukturen offengelegt werden sollten.
Der Einsatz von GPT-5.5-Cyber in der EU ermöglicht es europäischen Regulierungsbehörden und Betreibern kritischer Infrastrukturen, das Modell in realen Szenarien zu testen, ohne dass Rohdaten die Region verlassen müssen. Damit wird ein Präzedenzfall für den kontrollierten Zugang zu Frontier-Modellen geschaffen, der künftige Abkommen über die grenzüberschreitende Nutzung von KI maßgeblich beeinflussen könnte.
Gleichzeitig bleibt unklar, wie resistent das Modell gegenüber adaptiven Angriffen ist, die gezielt auf seine Cybersicherheitskomponenten abzielen. Die Fachwelt dürfte sich nun auf die unabhängige Überprüfung der Widerstandsfähigkeit gegen Prompt-Injektionen sowie auf die Reproduktion der Ergebnisse anhand offener Datensätze konzentrieren.
Das zentrale Fazit lautet: Der Zugang zu GPT-5.5-Cyber bietet der EU ein Instrument zur beschleunigten Entwicklung eigener Evaluierungsstandards für Spezialmodelle, erfordert jedoch gleichzeitig Investitionen in die unabhängige Verifizierung.
