OpenAI veröffentlicht GPT-5.5-Cyber: KI-Modell kann Sicherheitslücken automatisch finden und ausnutzen
Was wirklich drin steht
OpenAI hat am 22. Juni 2026 eine spezialisierte Version seines KI-Modells GPT-5.5 vorgestellt, die gezielt für Cybersicherheit optimiert wurde. GPT-5.5-Cyber kann große Codebasen analysieren, Sicherheitslücken identifizieren, deren Ausnutzbarkeit validieren und automatisch Patches generieren und testen - alles in einem einzigen automatisierten Arbeitsablauf. Die Benchmark-Ergebnisse sind bemerkenswert: 85,6 Prozent auf CyberGym (gegenüber 81,8 Prozent für das Standard-GPT-5.5), 39,5 Prozent auf ExploitGym (gegenüber 25,95 Prozent - eine Steigerung von über 52 Prozent) und 69,8 Prozent auf SEC-bench Pro (gegenüber 63,1 Prozent). OpenAI bezeichnet das CyberGym-Ergebnis als den höchsten Wert, den jemals ein einzelnes Modell erreicht hat. Der Zugang ist streng beschränkt: Nur verifizierte Organisationen im 'Trusted Access for Cyber'-Programm dürfen das Modell nutzen, darunter Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, Oracle, Palo Alto Networks und Zscaler. Seit dem 1. Juni 2026 müssen alle Teilnehmer erweiterte Kontosicherheit aktivieren. Das britische AI Safety Institute (AISI) hat das Modell vor der Veröffentlichung evaluiert. Parallel dazu hat OpenAI ein Update für sein Codex-Security-Plugin veröffentlicht, das seit seiner Einführung im März 2026 über 30 Millionen Commits in mehr als 30.000 Codebasen gescannt hat.
Unsere Einordnung
Diese Nachricht verdient eine gelbe Bewertung, weil sie ein echtes Spannungsfeld aufzeigt. Einerseits ist ein KI-Modell, das Sicherheitslücken mit einer um 52 Prozent höheren Erfolgsrate finden und ausnutzen kann als sein Vorgänger, besorgniserregend. Die Fähigkeit, Angriffspfade zu verfolgen und Exploits automatisch zu validieren, könnte in falschen Händen katastrophale Folgen haben. Andererseits gibt es wichtige Gegenargumente: Der Zugang ist auf verifizierte Sicherheitsorganisationen beschränkt, das britische AI Safety Institute hat das Modell evaluiert, und die primäre Anwendung ist defensiv - also das Finden und Beheben von Schwachstellen, bevor Angreifer sie ausnutzen. Die realistischere Gefahr ist jedoch, dass ähnliche Fähigkeiten früher oder später auch in weniger kontrollierten Modellen verfügbar werden. Schon heute können frei verfügbare KI-Modelle einfache Schwachstellen erkennen. GPT-5.5-Cyber zeigt, wohin die Entwicklung geht - und warum das Wettrüsten zwischen Angreifern und Verteidigern im Cyberbereich durch KI deutlich beschleunigt wird.
Relevanz für Deutschland
Für Deutschland ist diese Entwicklung aus mehreren Gründen relevant. Erstens gehört Deutschland laut BSI-Lagebericht 2025 zu den am stärksten von Cyberangriffen betroffenen Ländern in Europa, und KI-gestützte Angriffswerkzeuge verschärfen diese Bedrohung. Zweitens fehlt deutschen Unternehmen und Behörden bisher der Zugang zu solchen defensiven KI-Werkzeugen: Keines der acht Unternehmen im 'Trusted Access for Cyber'-Programm hat seinen Hauptsitz in Deutschland oder der EU. Das wirft die Frage auf, ob Europa bei der KI-gestützten Cyberverteidigung ins Hintertreffen gerät. Drittens betrifft das Thema direkt die Umsetzung der EU-Richtlinie NIS2, die seit Oktober 2024 höhere Cybersicherheitsanforderungen an Unternehmen und kritische Infrastrukturen stellt. Viertens zeigt der Fall, dass KI-Sicherheitsregulierung über den EU AI Act hinausgehen muss: Selbst wenn ein Modell nur defensiv eingesetzt werden soll, können die gleichen Fähigkeiten offensiv missbraucht werden - eine Dual-Use-Problematik, die in der aktuellen Regulierung noch unzureichend adressiert ist.
Faktencheck
Die Benchmark-Ergebnisse stammen direkt aus dem offiziellen OpenAI-Blogbeitrag vom 22. Juni 2026. Die Werte von 85,6 Prozent auf CyberGym, 39,5 Prozent auf ExploitGym und 69,8 Prozent auf SEC-bench Pro werden übereinstimmend von Cybersecurity News, Axios und weiteren Quellen berichtet. Die Teilnehmer des Trusted Access for Cyber-Programms sind auf der OpenAI-Webseite aufgelistet. Die AISI-Evaluation des Modells wird auf der Webseite des britischen AI Safety Institute bestätigt. Die Angaben zu Codex Security (30 Millionen gescannte Commits in 30.000 Codebasen seit März 2026) stammen ebenfalls aus dem OpenAI-Blog.
Quelle
- • https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/
- • https://cybersecuritynews.com/gpt-5-5-cyber/
- • https://www.aisi.gov.uk/blog/our-evaluation-of-openais-gpt-5-5-cyber-capabilities
- • https://www.axios.com/2026/06/22/openai-rolls-out-more-capable-version-of-cyber-model