Через тиждень після того, як Anthropic випустила Claude Mythos для ринку кібербезпеки, OpenAI відповіла власним варіантом — GPT-5.4-Cyber. Але технічна новинка тут менш цікава, ніж те, що компанія зробила з обмеженнями.
Та сама модель, інші правила
GPT-5.4-Cyber — це не окрема архітектура, а модифікована версія GPT-5.4 із зниженими порогами відмов для легітимних кіберзавдань. OpenAI називає це підходом «cyber-permissive»: модель відповідатиме на запити, які стандартна версія відхилила б як потенційно небезпечні — аналіз вразливостей, реверс-інжиніринг бінарного коду, дослідження малвару.
Серед нових можливостей — саме binary reverse engineering: аналітики можуть шукати шкідливий код у програмах і застосунках без ручного дизасемблювання. Як зазначає SiliconAngle, показник CTF-бенчмарків (capture-the-flag — змагання з кібербезпеки) виріс з 27% на GPT-5 у серпні 2025 року до 76% на поточному поколінні моделей. Це не абстрактна статистика: CTF-сценарії моделюють реальні атаки.
Доступ через рівні перевірки
Модель не з'явиться у вільному доступі. OpenAI розширює програму Trusted Access for Cyber (TAC) — багаторівневу систему верифікації, де вищий рівень доступу відкриває потужніші можливості. Найвищий рівень дає доступ саме до GPT-5.4-Cyber з мінімальними обмеженнями.
Верифікація включає KYC-перевірку (Know Your Customer) та автоматичну ідентифікацію особи. Доступ отримають перевірені організації, постачальники рішень з безпеки та дослідники. Паралельно OpenAI зберігає додаткові захисні механізми: моніторинг запитів у реальному часі та асинхронне блокування для клієнтів на Zero Data Retention-поверхнях.
«Оскільки можливості кібербезпеки є за своєю природою подвійного використання, ми дотримуємося обережного підходу до розгортання»
— OpenAI, системна картка GPT-5.4
Подвійне використання як вбудований ризик
Саме тут — реальний конфлікт, а не маркетинговий наратив. Модель, натренована знаходити вразливості та розуміти атакуючу логіку, за визначенням корисна і для захисту, і для нападу. OpenAI це визнає відкрито: у документації GPT-5.4 класифікується як модель з «High cyber capability» згідно з внутрішньою системою Preparedness Framework.
- Реверс-інжиніринг бінарного коду — знаходить вразливості і допомагає їх експлуатувати
- Аналіз малвару — навчає розуміти атаки, але й відтворювати їх логіку
- Дослідження вразливостей — стандартна практика пентестерів і, одночасно, зловмисників
Anthropic зіткнулася з тим самим із Claude Mythos. Обидві компанії роблять ставку на верифікацію доступу як основний захисний механізм — але KYC-перевірка не гарантує, що верифікована організація не зловживатиме можливостями або не стане жертвою витоку облікових даних.
Що далі
OpenAI прямо заявляє, що GPT-5.4-Cyber — підготовка до «більш потужних моделей, що з'являться цього року». Тобто планка можливостей продовжить зростати, а система верифікації залишиться тією самою.
Якщо жоден із задокументованих інцидентів зловживання не з'явиться публічно протягом наступних шести місяців, це або означатиме, що система TAC справді працює — або що ми просто про них не дізнаємося.
