英国AI Security Institute(AISI)は2026年4月30日、OpenAIのGPT-5.5に対するサイバー能力評価を公表した。advancedスイートExpert層で平均合格率71.4%を記録し、Anthropic Claude Mythos Previewの68.6%、GPT-5.4の52.4%、Opus 4.7の48.6%を上回った。SpecterOpsと共同構築した32ステップの企業ネットワーク攻撃シミュレーション「The Last Ones」を10回中2回エンドツーエンドで完遂し、Mythos Previewに続く2例目となった。Crystal Peak Security提供のrust_vmチャレンジは10分22秒、API利用料1.73ドルで解決した。
一方、Hack The Boxと構築した7ステップのICS攻撃シミュレーション「Cooling Tower」は未解決である。専門家レッドチームは6時間でユニバーサル・ジェイルブレイクを特定した。同日公表されたCyber Security Breaches Surveyでは、過去12か月で英国企業の43%がサイバー侵害または攻撃を経験している。英国政府はCyber Security and Resilience Billの提出と9,000万ポンドの新規予算を発表している。
From: 
Our evaluation of OpenAI’s GPT-5.5 cyber capabilities | AISI Work
【編集部解説】
今回のAISI(UK AI Security Institute)によるGPT-5.5評価で本当に重要なのは、個別ベンチマークの数字そのものではありません。異なる開発元の異なるアーキテクチャから生まれた2つのフロンティアモデルが、独立に同じ高みへ到達したという事実です。これは「特定ラボの突破」ではなく「業界全体の能力曲線の急峻化」を示唆しており、AISIが本記事で最も強調したかったポイントだと編集部は読み取っています。
そもそもAISIが何者なのかについて補足します。AISIは英国のDepartment for Science, Innovation and Technology傘下の研究機関で、2023年からフロンティアAIのサイバー能力を独立した第三者として追跡評価してきました。OpenAIやAnthropicが自社で発表する数値とは別に、政府系の研究機関が同じ尺度で横並び比較する点に、この評価の独自価値があります。
特に注目したいのは、AISIが脚注でTLOの成績を10回中1回から2回に修正した経緯です。OpenAIのGPT-5.5システムカードに記載された「1/10」と異なる数字を、自らの採点バグとして公開し訂正したわけです。能力評価における誠実さが信頼の通貨になる時代において、こうした透明性は他のラボや評価機関にとっても規範となる振る舞いだと言えます。
技術的な見どころは、Crystal Peak Securityが提供したrust_vmチャレンジのスポットライトです。人間専門家がBinary Ninjaやgdb、Python、Z3などのツールを駆使して約12時間かけた課題を、GPT-5.5は10分22秒、API利用料1.73ドルで解いています。注目すべきは、ジャンプテーブルが空のPIE実行ファイルでつまずいた瞬間に、自らreadelf -rWで再配置情報を引き当て、エミュレータ実装で割り込み番号の取り違えを自己診断・自己修正していること。これは「コードを書く」のではなく「未知の処理系を解読し、推論を重ねて目的を達成する」という、長期的自律性そのものの表れです。
ここから導かれるAISI自身の見立てが、本記事の核心です。サイバー攻撃能力は長期視野の自律性、推論、コーディングといった汎用能力の改善の副産物として立ち現れている——つまり「ハッキング専用に作らなくても、汎用的に賢いモデルは結果としてハッカーの仕事ができる」という構造です。この観測は、AI能力ガバナンスの設計思想そのものを揺さぶります。
一方で、過剰な脅威論への補正もきちんと記事内に置かれています。GPT-5.5は産業制御システム(ICS)攻撃シミュレーションの「Cooling Tower」を解けていません。さらに、AISIのレンジには現実環境にあるはずのアクティブな防御者・防御ツール・アラートペナルティが欠けており、堅牢化されたターゲットへの実効性は未測定であると、研究機関自身が強く釘を刺しています。「研究環境での能力上限」と「実戦での到達点」の間にはまだ距離があるという認識は、読者の方にも共有しておくべき重要な前提です。
セーフガード側の観測も見逃せません。AISIの専門家チームはわずか6時間でユニバーサル・ジェイルブレイクを発見しました。能力の進化速度に対して、セーフガードの強度は依然として人間の発想力で破られ得る水準にあります。OpenAIは事後修正を行いましたが、提供版の構成不備によりAISIは最終的な有効性を検証できなかったという事実も、現在のAI安全評価の現場のリアリティを物語っています。
innovaTopia編集部として強調したいのは、この技術トレンドは「攻撃側専用」ではないという非対称な希望のほうです。OpenAIは「Trusted Access for Cyber(TAC)」を含むTrusted Access Programmesを通じて、防御側に高度モデルを開放する道筋を示しています。Anthropicも独自に「Project Glasswing」という枠組みを設け、限定的なパートナー組織にClaude Mythos Previewを提供しています。攻撃と防御は同じ技術基盤の上で同時に加速する構造になりつつあります。
政策的なタイミングも示唆的です。同日公表された英国のCyber Security Breaches Survey 2025/2026では、過去12か月で英国企業の43%がサイバー侵害または攻撃を経験しています。英国政府はCyber Security and Resilience Billの提出と9,000万ポンドの新規予算でこれに応えようとしていますが、AI能力の指数的上昇に対して立法と予算がどこまで伴走できるか——これは英国に限らず、日本を含む各国が直面する共通課題です。
長期的視点では、サイバーセキュリティ業界の経済構造そのものが変わる予感があります。脆弱性発見が事実上「コモディティ化」する世界では、希少資源は発見能力ではなく修正・適用・運用するディシプリン側に移動します。AIが自動で見つけた脆弱性レポートが洪水のように流れ込んできたとき、それを優先順位付けして実装し、デプロイし、検証する組織能力こそが競争力になる——この転換点に、いま私たちは立っています。
「未来を知りたい、触りたい、関わりたい」読者の皆さんにとって、この記事は単なるベンチマーク報告ではなく、AIと人間社会のセキュリティ関係を再設計するスタート地点として読んでほしいトピックです。攻撃と防御の双方が同じ技術基盤の上で加速する中で、企業も個人も「何を任せ、何を残し、何を新しく学ぶか」を選び直すフェーズに入っています。
【用語解説】
CTF(Capture The Flag)
サイバーセキュリティ分野の競技形式で、参加者が脆弱性を発見・悪用して隠された「フラグ(合言葉)」を取得する。リバースエンジニアリングや暗号解読、Webエクスプロイトなど多様な分野で能力を測定するため、AI評価のベンチマークとしても定着しつつある。
TLO(The Last Ones)
AISIがSpecterOpsと共同で構築した、32ステップの企業ネットワーク攻撃シミュレーション。偵察、認証情報窃取、Active Directory横断のラテラルムーブメント、CI/CDサプライチェーン経由のピボット、保護データベース窃取まで、現実の侵入キルチェーン全体を模している。
ICS(産業制御システム)/OT(運用技術)
発電所や工場、上下水道などの物理プロセスを制御する組み込みシステム群。停止すれば社会インフラに直接影響するため、ITネットワーク以上に高い堅牢性が求められる領域である。
ユニバーサル・ジェイルブレイク
AIモデルの安全制御をすり抜け、本来拒否すべきあらゆる種類の悪意ある問いに違反応答を生成させる、汎用的な脱獄手法のこと。1個の手法で広範な攻撃シナリオが解放されてしまう点が深刻である。
レッドチーミング
セキュリティ実務における攻撃者視点の評価手法。AI領域では、専門家チームがモデルの安全制御の弱点を能動的に探索し、設計改善のための知見を得る活動を指す。
フロンティアAI
現時点で世界最先端の能力を持つ大規模AIモデル群を指す呼称。OpenAIのGPTシリーズ、AnthropicのClaudeシリーズ、GoogleのGeminiシリーズなどが該当し、各国政府が独立評価の対象に指定している。
Trusted Access Programmes(信頼アクセスプログラム)
OpenAIが運営する、高度なサイバー能力を有するモデルへの限定アクセス枠組み。身元確認済みのセキュリティ防御担当者向けに提供することで、攻撃悪用リスクを抑えつつ防御側の活用を促す。AnthropicはClaude Mythos Previewに対して別枠組みのProject Glasswingを設けており、各社が異なるアプローチを取っている。
Project Glasswing
AnthropicがClaude Mythos Previewの限定提供のために設立したセキュリティ重視の連合体。AWS、Apple、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなどが参加し、世界の重要ソフトウェア防御強化を目的としている。
Cyber Security and Resilience Bill(サイバーセキュリティ・レジリエンス法案)
英国政府が提出している、必須サービスおよびデジタルサービスを保護するための法案。AI時代のサイバー脅威に対する規制基盤強化を目的としている。
ReActエージェント
「Reasoning(推論)」と「Acting(行動)」を交互に繰り返すAIエージェントの基本構成。今回のGPT-5.5評価ではBashとPythonを操作するReActエージェントがKali Linuxコンテナ上で稼働している。
PIE(Position Independent Executable)
実行時にメモリ位置が動的に決定される実行ファイル形式。ジャンプテーブルの実アドレスはプログラム起動時にローダが補完するため、静的解析だけでは関数ポインタを直接読み取れない。
キルチェーン/ラテラルムーブメント
キルチェーンは攻撃者が侵入から目的達成までに踏む段階の連鎖を指す概念。ラテラルムーブメント(横移動)はその中で、初期侵入後に同ネットワーク内の別のホストへ権限を広げていく工程を指す。
Active Directory
Microsoftの企業向けID・権限管理基盤。ユーザー、デバイス、グループポリシーを一元管理する仕組みで、企業ネットワークの実質的な「鍵」であり、攻撃者の最重要ターゲットとなる。
脆弱性パッチの波(vulnerability patch wave)
AIによる自動脆弱性発見の加速で、開発者やシステム運用者が短期間に大量のパッチ適用を迫られる事態を指す表現。NCSCが組織への備えを呼びかけている。
【参考リンク】
AI Security Institute(AISI)公式サイト(外部)
英国政府傘下のAI安全性研究機関。フロンティアAIモデルの能力評価とガバナンス研究を独立した立場で実施している。
OpenAI公式サイト(外部)
GPT-5.5の開発元。AIモデルの研究開発と提供を行う米国企業で、システムカードを通じて自社モデルの評価を公表している。
Anthropic公式サイト(外部)
Claude Mythos PreviewやOpus 4.7を開発する米国のAI企業。安全性研究を中核に据えた組織運営で知られている。
SpecterOps公式サイト(外部)
AISIのTLOレンジを共同構築したサイバーセキュリティ企業。Active Directory攻撃経路管理ツール「BloodHound」の開発元である。
Crystal Peak Security公式サイト(外部)
AISIのadvancedサイバータスク(rust_vmチャレンジ等)を提供したセキュリティ企業。脆弱性研究と高度な攻撃シミュレーションに特化している。
Hack The Box公式サイト(外部)
ICS攻撃シミュレーション「Cooling Tower」の構築パートナー。サイバーセキュリティ訓練プラットフォームとして全世界で利用されている。
Irregular公式サイト(外部)
AISIのadvancedサイバータスクの共同開発企業。フロンティアAIの脅威評価を専門とするセキュリティ研究組織である。
National Cyber Security Centre(NCSC)公式サイト(外部)
英国のサイバーセキュリティ政策および技術的助言を担う政府機関。GCHQ傘下で、企業や公共機関向けのガイダンス公表を行っている。
UK Government — Cyber Security Breaches Survey 2025/2026(外部)
英国政府が毎年公表しているサイバー被害の実態調査。今回のAISI評価と同日に発表された最新版である。
【参考記事】
Our evaluation of Claude Mythos Preview’s cyber capabilities | AISI(外部)
今回の比較対象であるClaude Mythos Previewの先行評価。TLOを10回中3回完遂、Expert層CTFで73%の成功率を達成と報告している。
The AI Cyber Capability Curve | Resilient Cyber(外部)
Mythos PreviewとGPT-5.5を比較し「能力曲線が世代ごとに急峻化している」と論じた分析記事。実務家視点の補強材料として有用である。
GPT-5.5 System Card | OpenAI(外部)
OpenAI自身が公開したGPT-5.5評価。AISIブログとは数値の捉え方や粒度が異なる箇所があり、一次情報の照合先として価値が高い。
GPT-5.4-Cyber and GPT-5.5 for the Future of AI Cybersecurity | Fluid Attacks(外部)
OpenAIのTrusted Access for CyberとAnthropicのProject Glasswingを比較した業界視点の解説。複数の独立評価機関の数値を整理している。
AISI: GPT-5.5 matches Mythos on offensive cyber tasks | ResultSense(外部)
4モデル比較を中心にAISI評価を要約。43%の被害率や9,000万ポンドの新規予算など政策側数値も整理されている。
GPT-5.5: The Complete Guide(2026) | o-mega(外部)
GPT-5.5のリリースおよびProject Glasswing詳細(参加企業リスト含む)を整理した解説記事。固有名詞の確認源として活用した。
【関連記事】
Anthropic「Claude Mythos Preview」限定公開|数十年物の脆弱性を自律発見、史上最強AIをなぜ一般に公開しないのか
今回のAISI評価で先行モデルとして登場するMythos Preview本体の解説記事。Project Glasswing発足の経緯とMythosのサイバー能力の全体像を扱う。
「防御側優位」は成り立つか──AnthropicのProject GlasswingとAIサイバー能力の構造
本記事の編集部解説で論じた「攻撃側専用ではなく防御側にも開かれる」という視点の前段論考。OpenAIとAnthropicの構造比較を含む。
OpenAI「GPT-5.5」発表|エージェンティック・コーディング強化、Claude Opus 4.7・Gemini 3.1 Proと競う性能でラムゼー数の新証明にも貢献
GPT-5.5本体のリリース解説。Preparedness FrameworkでHigh分類された経緯やTrusted Access for Cyberなど本記事の前提情報を含む。
GPT‑5.4‑Cyber登場—OpenAIがサイバー防衛AIを認証制で防衛者に段階開放へ
OpenAIのTrusted Access for Cyber(TAC)プログラムの詳細を解説。本記事で触れた安全アクセス枠組みの先行事例である。
Anthropic「Mythos」の正体—ゼロデイマシンの実力は誇大広告だったのか?(内部)
Mythosの能力評価に対する批判的視点を含む論考。AISI評価が示す「2例目の独立到達」という事実と読み合わせると立体的になる。
Claude Mythosが揺らす日本の金融インフラ|FSA・日銀・三大メガバンクが緊急対策に動いた理由(内部)
フロンティアAIサイバー能力の日本側政策インパクトを扱った同日公開の記事。本記事で論じた「英国の政策タイミング」と日本側を結ぶ視点を提供する。
【編集部後記】
異なる開発元のフロンティアAIが、独立に同じ高みへ到達した——この「業界横断的な能力曲線の急峻化」が、私たちの仕事や暮らしのセキュリティに何を意味するのか、一緒に考えてみませんか。攻撃と防御は同じ技術基盤の上で同時に加速します。
皆さんが関わる組織や日々使うサービスは、この変化にどう備えていますか。脅威としてだけでなく、防御を強化する道具として、フロンティアAIをどう活かせるか。その問いを編集部もこれから追い続けていきます。
