Viện An toàn AI của Anh (AISI), trực thuộc Bộ Khoa học, Công nghệ và Đổi mới, ngày 30/4 công bố báo cáo cảnh báo rằng GPT-5.5 của OpenAI cho thấy năng lực tấn công mạng đáng kể trong môi trường thử nghiệm có kiểm soát.

Theo AISI, các bài thử nghiệm cho thấy mô hình này có thể thực hiện nhiều tác vụ tấn công mạng ở mức nâng cao.

Cơ quan này đánh giá GPT-5.5 qua hai nhóm bài kiểm tra. Ở bài kiểm tra dạng CTF, AISI đo khả năng phát hiện lỗ hổng và thực thi mã khai thác. Trong nhóm bài khó nhất, GPT-5.5 đạt tỷ lệ thành công trung bình 71,4%, cao hơn Mithos với 68,6%.

Với nhiệm vụ reverse engineering, GPT-5.5 hoàn thành trong 10 phút 22 giây. AISI cho biết một chuyên gia bảo mật có thể mất khoảng 12 giờ để xử lý cùng tác vụ này.

Nhóm đánh giá thứ hai được thực hiện trong cyber range, môi trường mô phỏng mạng thực tế cùng các lớp phòng thủ. Ở kịch bản 32 bước “The Last Ones”, mô phỏng chuỗi xâm nhập vào hệ thống doanh nghiệp, GPT-5.5 đã tự động hoàn tất toàn bộ kịch bản 2 lần trong 10 lần thử. Theo AISI, nếu do chuyên gia vận hành thủ công, bài này có thể mất khoảng 20 giờ.

Tuy nhiên, với mô phỏng “Cooling Tower” nhắm vào hệ thống điều khiển công nghiệp, không có mô hình AI nào vượt qua được.

AISI lưu ý rằng các mô hình có năng lực tấn công mạng nâng cao đã liên tiếp xuất hiện từ nhiều nhà phát triển AI khác nhau. Cơ quan này nhận định nếu các tiến bộ về suy luận và tính tự chủ tiếp tục kéo theo năng lực kỹ thuật trong tấn công mạng, nhiều mô hình khác cũng có thể sớm ghi nhận mức cải thiện tương tự.

AISI nhấn mạnh đây là kết quả thu được trong môi trường thử nghiệm có kiểm soát, nên không thể suy rộng trực tiếp sang hiệu năng của phiên bản GPT-5.5 công khai, do bản phát hành có áp dụng các cơ chế an toàn.

Dù vậy, trong bài kiểm tra red team kéo dài khoảng 6 giờ, nhóm đánh giá đã tìm ra cách vô hiệu hóa các cơ chế an toàn và trích xuất phản hồi nguy hiểm từ toàn bộ prompt độc hại đã chuẩn bị sẵn. OpenAI sau đó đã vá lỗ hổng, nhưng việc xác nhận an toàn cuối cùng vẫn chưa hoàn tất do vấn đề cấu hình của môi trường cung cấp.

Tại Anh, trong vòng một năm qua, 43% doanh nghiệp ghi nhận thiệt hại do tấn công mạng. Chính phủ Anh cho biết sẽ phân bổ thêm 90 triệu bảng để tăng cường năng lực phòng thủ trước các mối đe dọa mới.