GPT-5.5-Cyber edición limitada abierta: pruebas de penetración, contraataques de equipo rojo ya no rechazados, control jerárquico de permisos en capas

Según el monitoreo de Beating, tras GPT-5.4-Cyber, OpenAI lanzó GPT-5.5-Cyber en forma de vista previa limitada para defensores de infraestructura crítica. Al igual que la generación anterior, el cambio principal no es una mayor capacidad, sino una mayor flexibilidad: los usuarios verificados pueden hacer que el modelo genere conceptos de prueba de concepto (PoC) de vulnerabilidades, realice pruebas de penetración y participe en contraataques de red, solicitudes que en la versión estándar de GPT-5.5 serán bloqueadas por barreras de seguridad.
El acceso continúa con un sistema de tres niveles. La versión predeterminada de GPT-5.5 usa barreras estándar, y las solicitudes relacionadas con seguridad pueden ser rechazadas.
GPT-5.5 con TAC (Acceso Confiable para Ciberseguridad, marco de autenticación lanzado por OpenAI en febrero) reduce las falsas detecciones, cubriendo flujos de trabajo de defensa como revisión de código, clasificación de vulnerabilidades, análisis de malware y creación de reglas de detección.
GPT-5.5-Cyber es la más flexible, permitiendo pruebas de red autorizadas y pruebas de penetración, pero aún prohíbe comportamientos de ataque reales como robo de credenciales y despliegue de malware.
El plan TAC también está en expansión, actualmente cubre a miles de defensores individuales y cientos de equipos de seguridad.
Los usuarios con modelos más flexibles pueden enfrentar restricciones adicionales en escenarios de baja visibilidad, como la retención cero de datos (ZDR).
OpenAI proporcionó ejemplos comparativos de respuestas en los tres niveles:
Una misma solicitud de «generar PoC de vulnerabilidad para CVE publicado», en la versión predeterminada se rechaza directamente o solo se ofrecen recomendaciones de escaneo;
La versión TAC genera un servicio completo de vulnerabilidades, scripts de explotación y documentación;
La versión Cyber incluso puede realizar explotaciones reales en dominios objetivo del usuario y devolver información del sistema.
A partir del 1 de junio, los usuarios individuales con modelos de máxima autoridad deben habilitar la seguridad avanzada contra phishing.
Los socios incluyen Cisco, Intel, SentinelOne, Snyk, entre otros.
OpenAI también lanzó el plugin de seguridad Codex, que integra modelado de amenazas, detección de vulnerabilidades y verificación de correcciones en Codex, y ofrece cuotas de Codex y API a mantenedores de proyectos de código abierto clave.
OpenAI afirma que esta estrategia en capas guiará el despliegue de modelos más potentes en el futuro: los modelos estándar con medidas de seguridad generales se lanzarán ampliamente, mientras que los modelos flexibles específicos para escenarios de seguridad siempre se desplegarán de forma limitada.
El informe de evaluación de seguridad de GPT-5.5 clasifica su capacidad en ciberseguridad como Alta, por debajo de Crítica (que requiere que el modelo pueda desarrollar ataques de día cero contra sistemas reforzados).