Een ervaren pen-tester heeft ongeveer twintig uur nodig om zich door een doorsnee bedrijfsnetwerk te werken. Verkenning, een gestolen wachtwoord, lateral movement door je Active Directory, een pivot via je CI/CD-pipeline, en uiteindelijk je klantdatabase die naar buiten lekt. De UK AI Security Institute liet GPT-5.5 datzelfde scenario draaien. In twee van de tien runs lukte het, end-to-end, zonder dat er een mens bij hoefde. Op expert-niveau is OpenAI's nieuwste model nu ongeveer net zo goed in offensive cyber als Anthropics Claude Mythos. Dat is geen academische voetnoot. Dat verschuift wat de gemiddelde aanvaller op zijn laptop heeft staan.
Wat is er precies getest?
Het Britse AI Security Institute, een overheidsinstituut binnen het Department for Science, Innovation and Technology, evalueert frontier-modellen voordat ze breed beschikbaar komen. Op 30 april publiceerden ze hun bevindingen over GPT-5.5. Twee weken eerder was er al een vergelijkbare rapportage over Claude Mythos Preview verschenen. De aanpak is grondig.
De testset bestaat uit twee dingen. Eerst 95 capture-the-flag-uitdagingen, gegroepeerd in vier moeilijkheidsgraden. Reverse engineering, web-exploitatie, cryptografie. Het soort werk waar een security-onderzoeker maanden over leert. Daarbovenop zogenoemde cyber ranges, nagebouwde bedrijfsnetwerken waar het model een hele aanvalsketen moet uitvoeren. Dus geen losse trucs maar een volledig scenario van begin tot eind.
Wat AISI niet test? Of het model je daadwerkelijk goed verdedigde productie-netwerk binnenkomt. Hun runs starten in een omgeving waarin de aanvaller al een voet tussen de deur heeft. Daar kunnen we het zo over hebben.
De cijfers waar je even bij stilstaat
Op de zwaarste tier, Expert, scoort GPT-5.5 een gemiddelde slagingskans van 71,4 procent. Mythos Preview komt op 68,6 procent. Een halfjaar geleden zat Claude Opus 4.7 nog op 48,6 procent en GPT-5.4 op 52,4. Dat is twintig procentpunt erbij in een halfjaar.
Een halfjaar.
AISI is voorzichtig met taal, maar dit citaat staat er onverbloemd: "GPT-5.5 may be the strongest model we have tested." Voor een instituut dat normaal in droge bewoordingen rapporteert, is dat een statement.
Wat dat in praktijk betekent: taken die je voorheen alleen tegenkwam in een serieus rode-team-rapport, doet zo'n model nu vaker wel dan niet zelf. Geen tutorial-CTF's met een vlaggetje aan het eind van een suf scriptje. Opdrachten waar je security-engineer een uurtje of zes voor uittrekt en dan misschien blanco aanlevert.
32 stappen door een corporate netwerk
Het kroonjuweel van de testsuite heet "The Last Ones". Een gesimuleerd corporate netwerk van 32 sequentiële stappen. De aanvaller moet zich verkennen, credentials stelen, lateral movement plegen door twee Active Directory-forests heen, een supply-chain-pivot via een CI/CD-pipeline maken, en uiteindelijk een database exfiltreren. Voor een menselijke expert is dat ongeveer twintig uur werk.
Mythos Preview lukte het drie keer in tien pogingen, end-to-end. GPT-5.5 deed het twee keer. Dat is de eerste keer in de geschiedenis van AISI's evaluaties dat een model zo'n volledige keten alleen aflegt. Het maakt geen kleine sprongetjes meer; het rijgt vakgebieden aan elkaar zoals een mens dat doet, alleen sneller.
"Cooling Tower", de andere multi-step uitdaging in dezelfde league, is nog door geen enkel model opgelost. Het is een korte adempauze.
En toen werd er in zes uur een universele jailbreak gevonden
De rode-team-onderzoekers van AISI gingen de safeguards van GPT-5.5 testen. Niet maandenlang, maar zes uur. In die zes uur vonden ze een universele jailbreak: één instructie die het model alle malicieuze cyber-queries liet uitvoeren die OpenAI ze had aangereikt. Inclusief in agentic-settings, dus situaties waarin het model meerdere stappen autonoom uitvoert.
OpenAI zegt sindsdien patches te hebben uitgerold. Goed nieuws. Slecht nieuws is dat zes uur ongeveer een woensdagmiddag is voor een serieuze aanvaller, en dat een werkende jailbreak op een API-model zich niet aan de aanvallerszijde laat patchen zoals een softwarefix dat doet.
Vergelijk het met een ingebouwde safe in je voordeur, waarbij blijkt dat er één skeleton key is die ook bij elk ander huis in de straat past. De fabrikant verwisselt nu de slotcilinders. De skeleton key is intussen al in handen van wie dat snel oppikt.
Waarom dit niet een academische test is
Twee zinnen waar je even bij stil moet staan, beide uit de AISI-rapporten. De eerste: "We cannot say from these results whether GPT-5.5 would succeed against a well-defended target." Een belangrijke beperking. Hun runs starten met al-gecompromitteerde toegang en in lab-condities. Een gehard productie-netwerk met EDR, gefilterde uitgaande verbindingen en een werkende incident-response zal niet zomaar omvallen.
De tweede zin uit hetzelfde rapport: cyber-offensive capability ontstaat als bijproduct van algemene verbeteringen in long-horizon-autonomy, reasoning en coding. Die zin verklaart waarom je de afgelopen halfjaar zo'n sprong ziet. AI-labs trainen niet specifiek op cyberaanvallen. Ze trainen op planning, code-redenering en autonomie. De cyber-vaardigheden zijn een neveneffect van datzelfde recept dat Claude Code productiever maakt en Cursor zijn agents laat samenwerken.
Vertaald naar jouw situatie: deze capability gaat niet weg. Eerder versnelt hij. Wat de volgende generatie modellen kan, ligt boven 71 procent expert-pass-rate, en het venster waarin "alleen specialisten dit kunnen" gold, wordt hard smaller.
Voor Nederlandse mkb'ers verandert er iets concreets
Even afstand nemen. Wat betekent dit voor jou, als je een bedrijf van 50 of 500 medewerkers leidt, of als consultant met een paar klanten in je portefeuille?
Eerst de voor-de-hand-liggende: je dreigingsmodel verandert. Niet morgen, maar wel binnen zes maanden. Aanvallers met beperkte cyber-skills die voorheen tegen je netwerk aanliepen en het opgaven, krijgen er een gereedschapskist bij. Een ransomware-bende met budget voor één junior pen-tester en een GPT-5.5 API-toegang van pakweg duizend dollar per maand kan, in theorie, evenveel werk verzetten als een team van vijf seniors twee jaar geleden.
Voor de Nederlandse pen-test-sector, denk Fox-IT, Northwave, Computest, of de tweemansbedrijven die je via je accountant kent, verschuift de propositie. Een rapport dat alleen de standaard-OWASP-flaws benoemt, is niet meer genoeg. Verwacht dat zij in offertes het woord "AI-assisted red teaming" laten vallen, en daar terecht meer geld voor vragen.
Hoe komt Nederland hier in?
Onder de AI-verordening, die op 2 augustus dit jaar voor high-risk-systemen ingaat, vallen GPAI-modellen met "high-impact capabilities" onder strengere verplichtingen. De cyber-evaluaties van AISI zijn precies het type bewijsstuk dat de Europese AI Office en de NL-toezichthouder gaan gebruiken om te bepalen welke modellen in die categorie vallen. De tien Nederlandse toezichthouders die we eerder bespraken krijgen via dit soort rapportages directe input.
Praktisch gevolg: als je organisatie GPT-5.5 of Claude Mythos integreert in een AI-product dat als high-risk classificeert (recruitment, kredietbeoordeling, kritieke infrastructuur, gezondheidszorg), moet je dat in je risicodossier verantwoorden. Inclusief mitigerende maatregelen voor wat het model in handen van een misbruiker zou kunnen doen. Dat staat niet meer als optioneel hoofdstuk in je DPIA.
Het Nationaal Cyber Security Centrum schrijft al een tijd over AI in het dreigingsbeeld. De Autoriteit Persoonsgegevens publiceert daarnaast lopend richtlijnen over AI-systemen en gegevensbescherming, en houdt nauwlettend in de gaten welke modellen "GPAI met systemic risk" worden.
Wat zet je deze week op je agenda?
Drie dingen om in je calendar te zetten als je verantwoordelijk bent voor security of AI-strategie.
Eén. Vraag je security-leverancier expliciet om een AI-aanvalssimulatie als onderdeel van je volgende pen-test. Niet als upsell, als basis. Wie het in mei nog niet kan leveren, mist een vakgebied.
Twee. Kijk je AI Act-risicodossier opnieuw door. Vooral als je gebouwd hebt op de aanname dat het GPAI-model in je stack "alleen tekst genereert". Dat klopt niet meer. Het is een potentieel systeem voor offensive cyber dat door OpenAI of Anthropic wordt geremd via inhuurbare safeguards.
Drie. Bouw aan je cybersecurity-basis. AISI eindigt zijn rapport met de zin dat de standaardhygiëne (patches, MFA, segmentatie, logging) nu belangrijker is dan ooit. Niet sexy, wel werkzaam. Zelfs een GPT-5.5 met universele jailbreak staat stil bij een netwerk dat goed is gesegmenteerd en waar gebruikersaccounts geen lokale admin-rechten hebben.
Lezers van onze AI-nieuwsbrief krijgen dit soort updates dagelijks om 07:00 in hun mailbox, met de praktische context erbij. AISI noemt zijn lab-condities zelf voorzichtig gunstiger dan een goed-gehard netwerk. Ze testen wat een model zou kunnen, niet wat het in de praktijk lukt. Dat geeft je ademruimte. Maar geen veel, en niet voor lang. De richting van de cijfers is duidelijk: van bijna-niets naar zeven-op-de-tien geslaagde expert-taken, in een halfjaar tijd. De vraag is niet meer of, maar wanneer, en hoe goed je verdediging er dan voor staat.
