AISIが公開した評価の全容
AISIが今回使用した評価フレームワークの核心は、「The Last Ones(最後の砦)」と呼ばれる32段階の企業ネットワーク侵入シミュレーションだ。 このテストは、偵察から始まり、認証情報の窃取、複数のActive Directoryドメインを跨ぐ横展開、CI/CDパイプラインを経由したサプライチェーン攻撃、そして最終的な内部データベースの窃取まで、人間のエキスパートが約20時間かけて実行する一連の攻撃ステップを、AIが自律的にこなせるかを測定する。
評価結果は以下のとおりだ。
| モデル | 32段階テスト完了(10回中) | エキスパートレベル平均正解率 |
|---|---|---|
| GPT-5.5 | 2/10 | 71.4% (±8.0%) |
| Claude Mythos Preview | 3/10 | 68.6% (±8.7%) |
| GPT-5.4 | 0/10 | 52.4% (±9.8%) |
| Claude Opus 4.7 | 0/10 | 48.6% (±10.0%) |
GPT-5.5は同テストを完了した2番目のモデルとなり、Mythosと統計的に有意差のない水準で並んだ。 わずか数ヶ月前まで「Highだが Criticalには至らない」と評価されていたモデルが、ここまで急速に能力を高めた事実は、業界全体に緊張をもたらしている。
また、AISIの評価過程では、専門家による6時間のレッドチーミングで「全クエリに通用するユニバーサルジェイルブレイク」が発見され、OpenAIが緊急パッチを当てるという事態も発生した。 パッチ後のバージョンの検証ができなかったことも、今回の報告書で明記されている。
「汎用推論の副産物」が示す本質的なリスク
エンジニア視点で最も注目すべきは、AISIの結論部分だ。 報告書は「GPT-5.5の攻撃的サイバー能力の向上は、特定の安全保障向け訓練の結果ではなく、推論・コーディング・タスク完遂能力という汎用能力の全般的向上の副産物である可能性が高い」と指摘する。
これが意味するのは、サイバー能力の制御がモデルの特定領域の制限だけでは不可能になりつつあるということだ。 モデルが賢くなればなるほど、その能力はサイバー攻撃にも応用可能になる。 AIの汎用化とサイバーセキュリティリスクは、不可分に結びついている。
従来のソフトウェアであれば、機能仕様を定義し、テストケースを書き、その境界で能力を制御できた。 しかしLLMは、訓練データと強化学習の相互作用によって、設計者が意図しない能力を「副産物」として獲得してしまう。
GPT-4が登場した2023年当時、「Captureザフラグ(CTF)の基本問題は全モデルで飽和している」とAISIが報告したのは2026年2月のことだ。 今やAdvancedレベルのCTF、そして現実の企業ネットワークに近い複雑なシミュレーションでも、AIが自律的に攻撃を完遂する時代が来た。
ファイブアイズ6機関がエージェントAI展開への警告を発した背景には、こうした能力向上の加速がある。
「能力評価の限界」というエンジニアへの問い
OpenAIはGPT-5.5のシステムカードで「Cybersecurity: High(Criticalに非ず)」という評価を公式に付与している。 しかしAISIのテストが示すのは、「High」と「Critical」の境界線がいかに曖昧であるかだ。
AIの能力評価において、エンジニアが直面している根本的な問題がここにある。 従来は機能仕様を定義し、その範囲で制御できた。 しかしLLMは、設計者が意図しない能力を「副産物」として獲得してしまう。
CTFの基本問題は全モデルで飽和し、次のフロンティアは「現実の企業ネットワーク」だ。 そしてそのフロンティアも、今まさに突破されようとしている。
OpenAIのサイバー向けプログラムが持つ意味
今回の評価公開と同時に、OpenAIは「信頼されたサイバー防衛プログラム」の拡充も発表している。 セキュリティ研究者・SOCアナリスト・インシデントレスポンダーを対象に、通常制限されているAPIアクセスを提供するものだ。 同プログラムへのAPIクレジット供与として1,000万ドルを拠出することも明らかにされた。
これはAIの「攻守両面」の議論を体現している。 攻撃的サイバー能力が高まれば、防御に活用した場合の効果も高まる。 しかし攻撃と防御のツールが同一であるとき、誰がそれを使用するかという「アクセス制御」こそが安全保障の本質になる。
エンジニアの立場から見れば、「信頼されたアクセス」というコンセプト自体が問われる。 APIキーの漏洩、内部不正、政府機関からの強制開示要求——あらゆるシナリオで「信頼」は崩れうる。 アーキテクチャレベルでの設計が問われる時代だ。
今後の注目点——GPT-5.6はCriticalを超えるか
AISIのレポートが最も示唆的なのは、「この能力向上は一時的な跳躍ではなく、継続的トレンドの一部だ」という結論だろう。 GPT-5.4からGPT-5.5の間の能力向上は、わずか数ヶ月で発生した。 次のモデルでは何が「副産物」として現れるか、予測することが困難になりつつある。
Cerebras Systemsの266億ドル評価でのNasdaq上場申請が示すように、AIインフラへの投資加速はモデルの能力向上ペースをさらに押し上げる可能性がある。 「モデルの汎用化」と「サイバーリスクの増大」はコインの表裏だ。
AIの能力評価は、ますます困難になる一方、その重要性は増している。 あなたのセキュリティチームは、今日この評価結果をどう受け止めるだろうか。
ソース:
- Our evaluation of OpenAI's GPT-5.5 cyber capabilities — AISI(2026年5月)
- GPT-5.5 matches Claude Mythos in cyber attack tests, UK AI Security Institute finds — The Decoder(2026年5月5日)
- OpenAI's GPT-5.5 nearly as good as Anthropic's Mythos at hacking — Axios(2026年5月5日)
- GPT-5.5 System Card — OpenAI Deployment Safety Hub
- Scaling trusted access for cyber defense — OpenAI
