OpenAI heeft de Europese Unie toegang verleend tot een gespecialiseerde versie van het GPT-5.5-Cyber-model, dat specifiek is ontworpen voor cybersecurity-toepassingen. Deze ontwikkeling valt niet alleen op door de toegang zelf, maar vooral door de details van de architecturale verfijning en de evaluatiemethodiek, waarmee de aanpak van het bedrijf afwijkt van de voorzichtigere strategie van Anthropic.
Het model is gebaseerd op een 'mixture-of-experts'-architectuur met in totaal circa 1,2 biljoen parameters, waarbij 12 actieve experts van elk 120 miljard parameters verantwoordelijk zijn voor specifieke dreigingscategorieën. De verfijning vond plaats met synthetische datasets van aanvallen volgens het MITRE ATT&CK-framework, gebruikmakend van een RLHF-variant die is versterkt met feedback van gespecialiseerde analytische agents. Hierdoor behaalt het model een 'zero-shot' nauwkeurigheid van 94,7% op de MITRE-techniekdetectiebenchmark, wat een verbetering van 11 procentpunten is ten opzichte van de eerdere GPT-5-versie.
De evaluatiemethodiek roept echter vragen op: de tests zijn hoofdzakelijk uitgevoerd op interne datasets van OpenAI en niet op volledig onafhankelijke publieke databestanden. Gegevens over ablatiestudies, die de bijdrage van elk afzonderlijk onderdeel van de fijnafstemming aantonen, ontbreken. Dit maakt het lastig om vast te stellen in hoeverre de verbeteringen voortkomen uit de specifieke focus op cybersecurity, dan wel het resultaat zijn van de algehele opschaling.
In vergelijking met het gelijktijdige werk van Anthropic aan het Mythos-model, gepresenteerd in april 2026, zijn de benaderingen fundamenteel verschillend. Anthropic legt de nadruk op meerlaagse constitutionele toetsing en publiceert gedetailleerde rapporten over foutmodi, terwijl OpenAI zich beperkt tot geaggregeerde statistieken. Dergelijke verschillen weerspiegelen uiteenlopende visies op de manier waarop beperkingen van modellen voor kritieke infrastructuur openbaar gemaakt moeten worden.
De inzet van GPT-5.5-Cyber in de EU stelt Europese toezichthouders en beheerders van kritieke infrastructuur in staat om het model te testen in praktijkscenario's zonder dat ruwe data de regio hoeven te verlaten. Dit schept een precedent voor gecontroleerde toegang tot grensverleggende modellen, wat van invloed kan zijn op toekomstige overeenkomsten over grensoverschrijdend AI-gebruik.
Tegelijkertijd blijft onduidelijk hoe weerbaar het model is tegen adaptieve aanvallen die specifiek gericht zijn op de cybersecurity-componenten. De gemeenschap zal zich waarschijnlijk gaan richten op onafhankelijke verificatie van de weerstand tegen prompt-injecties en het reproduceren van de resultaten op open datasets.
De belangrijkste conclusie is dat de toegang tot GPT-5.5-Cyber de EU een instrument biedt om de ontwikkeling van eigen evaluatiestandaarden voor gespecialiseerde modellen te versnellen, maar dat dit tegelijkertijd investeringen in onafhankelijke verificatie vereist.
