Ecco GPT-5.5-Cyber. Cosa significa per i difensori che operano sulla frontiera della cybersecurity

Il rilascio da parte di OpenAI, il 7 maggio, di GPT-5.5 e della preview limitata di GPT-5.5-Cyber mette l’AI di frontiera nelle mani di difensori verificati. Come membro del programma Trusted Access for Cyber, Sophos utilizza questi modelli per potenziare ciò che già gestisce: un SOC agentico che risolve oltre la metà dei casi senza intervento umano e un’architettura endpoint progettata specificamente per bloccare zero-day generati dall’AI.

Products & Services ChatGPT AI artificial intelligence

Il 7 maggio OpenAI ha annunciato il rilascio esteso di GPT-5.5 attraverso il programma Trusted Access for Cyber (TAC) e la preview limitata di GPT-5.5-Cyber, una variante cyber-native più permissiva ottimizzata per workflow difensivi avanzati.

Per membri TAC verificati come Sophos, GPT-5.5 accelera l’intero ciclo difensivo: secure code review, triage delle vulnerabilità, analisi malware, detection engineering e validazione delle patch. GPT-5.5-Cyber va oltre: supporta attività autorizzate di red teaming, penetration testing e validazione controllata della sfruttabilità delle vulnerabilità per un gruppo ristretto di partner approvati. Parallelamente, OpenAI sta rafforzando i requisiti di verifica, introducendo autenticazione resistente al phishing per i membri che accedono ai modelli più permissivi.

Si tratta dell’evoluzione di un percorso iniziato all’inizio dell’anno con l’introduzione del TAC e delle varianti AI cyber-permissive. La direzione è chiara: man mano che le capacità dei modelli avanzano, OpenAI rafforza l’accesso ai difensori verificati come Sophos, aumentando proporzionalmente controlli e responsabilità.

Perché oggi questo conta

Due mesi fa Anthropic ha rilasciato Claude Mythos a un numero ristretto di partner. Le capacità rese note – tra cui migliaia di vulnerabilità zero-day individuate e un tasso di successo del 72,4% nello sviluppo di exploit – sono state considerate così significative da spingere il Segretario al Tesoro statunitense e il Presidente della Federal Reserve a convocare i CEO delle principali banche USA per un briefing urgente sulle implicazioni per la resilienza del settore finanziario. La capacità esiste già. La sua “contenibilità” resta incerta.

È questo il livello sul quale gli attaccanti operano già da mesi. L’AI accelera la scoperta delle vulnerabilità. L’AI genera exploit funzionanti. L’AI riduce drasticamente il tempo tra la pubblicazione di un advisory e lo sfruttamento attivo delle vulnerabilità.

Il rilascio di OpenAI di questa settimana è importante perché rappresenta uno dei tentativi più ambiziosi finora di mettere capacità equivalenti nelle mani dei difensori, supportate da un framework di accesso progettato per mantenerle tali.

Ma l’accesso, da solo, non è una strategia. Conta solo se esiste un’architettura operativa in grado di sfruttarlo. Ed è proprio qui che Sophos opera già oggi.

Operare in prima linea

Sophos si prepara da anni a questo scenario. Due elementi del suo lavoro sono particolarmente rilevanti per comprendere cosa acceleri TAC.

Sophos Endpoint: progettato per fermare zero-day generati dall’AI

Alla base dell’architettura di Sophos Endpoint c’è un principio preciso che Mythos, e ora GPT-5.5-Cyber, rendono ancora più attuale.

L’AI scala la scoperta delle vulnerabilità. Esistono milioni di vulnerabilità nei software in produzione e i modelli AI avanzati possono individuarle più rapidamente di quanto qualsiasi ciclo di patching riesca a correggerle. Tuttavia, l’AI non inventa nuovi “primitivi” di exploit. Per trasformare una vulnerabilità in una compromissione, nota o sconosciuta che sia, un attaccante deve comunque corrompere la memoria in un certo modo, reindirizzare l’esecuzione, elevare privilegi, eludere il monitoraggio comportamentale o interagire con il sistema operativo tramite sequenze specifiche. Milioni di vulnerabilità. Decine di tecniche.

Sophos Endpoint prende di mira le tecniche. Oltre 60 mitigazioni proprietarie contro gli exploit sono abilitate di default su ogni processo protetto, senza necessità di tuning per applicazione, liste di esclusione o periodi di audit. Operano in tempo reale direttamente sull’endpoint, senza dipendere da aggiornamenti di firme o lookup cloud.

Quando emerge un nuovo zero-day – generato da Mythos, da un futuro modello cyber-permissivo o da qualsiasi altra tecnologia – la domanda non è se Sophos lo abbia già visto. La domanda è se l’exploit possa completare la propria attività senza utilizzare un “primitivo” vincolato. Nella quasi totalità dei casi realistici, la risposta è no.

È questo il significato dell’approccio Sophos: proteggere contro le tecniche, non contro la provenienza della minaccia. La diffusione di Mythos non è stata un’anticipazione del futuro per Sophos, ma la conferma di una scelta architetturale fatta anni fa.

Sophos MDR: il più grande SOC agentico al mondo

L’altra metà della frontiera riguarda le operations. Le capacità tecnologiche, senza un modello operativo capace di utilizzarle, restano solo potenziale.

All’interno di Sophos MDR, l’azienda ha riprogettato detection e response per l’era dell’AI. Non si è limitata ad aggiungere modelli AI ai workflow esistenti: ha ridefinito il rapporto tra AI e operatori umani e le rispettive responsabilità.

Oggi il 52% dei casi viene risolto end-to-end dall’AI e il tempo medio tra alert e risposta automatizzata è di 89 secondi. Non si tratta di proiezioni teoriche, ma di dati operativi reali.

La parola chiave di questa architettura è responsabilità. Sophos MDR opera secondo un modello “human-on-the-loop”, non “human-in-the-loop”. L’AI è autorizzata ad agire entro confini ben definiti, stabiliti e calibrati continuamente dagli analisti. L’essere umano supervisiona il sistema, verifica il suo operato e interviene quando la situazione esce dai parametri previsti o quando la criticità lo richiede. È l’unico modello operativo che consente tempi di risposta di 89 secondi senza rinunciare alla responsabilità umana.

Cosa aggiunge il programma OpenAI TAC

L’adesione di Sophos al programma TAC rafforza entrambe queste aree.

Per Sophos Endpoint e i team di threat research, TAC accelera l’analisi di nuove minacce, la validazione delle vulnerabilità, il red teaming interno e la generazione di logiche di rilevamento distribuite su oltre 600.000 organizzazioni protette. Se l’AI individua vulnerabilità più rapidamente, la difesa deve poterle analizzare altrettanto velocemente. TAC riduce gli attriti operativi per i difensori verificati.

Per Sophos MDR, TAC aggiunge un ulteriore livello di intelligence operativa che viene poi applicata trasversalmente agli ambienti dei clienti. La stessa infrastruttura agentica che risolve casi in 89 secondi beneficia a valle delle capacità AI avanzate introdotte a monte. Ogni nuova tecnica osservata, ogni edge case risolto, ogni ambiente difeso alimenta un sistema che diventa più intelligente man mano che cresce.

È proprio questa combinazione il punto centrale. Le capacità senza architettura sono interessanti. Un’architettura senza capacità avanzate rischia di essere superata. Insieme rappresentano il modo in cui un sistema di difesa può restare davanti a un avversario che utilizza anch’esso l’AI.

Perché il modello TAC è importante

L’approccio di OpenAI con TAC va oltre l’utilizzo che ne fa Sophos.

Il problema più complesso dei modelli AI avanzati orientati alla cybersecurity è sempre stato che le stesse capacità possono accelerare sia attaccanti sia difensori. Renderli disponibili senza controlli alza il livello offensivo. Limitarli eccessivamente rischia invece di lasciare i difensori indietro rispetto ad avversari privi di governance o vincoli procedurali.

TAC rappresenta un tentativo concreto di trovare una terza via. Combina un accesso ampio per difensori verificati con garanzie proporzionate: verifica dell’identità, validazione organizzativa, livelli di accesso differenziati e requisiti di autenticazione sempre più stringenti man mano che aumenta la permissività del modello. Le capacità crescono con la verifica. La verifica cresce con la responsabilità. È un principio progettuale che merita di essere rafforzato in tutto il settore.

Sophos continuerà a partecipare in modo anticipato ai programmi che mettono capacità AI avanzate nelle mani dei difensori in modo responsabile. I difensori realmente pronti per ciò che arriverà sono quelli che già oggi operano sulla frontiera, su entrambi i lati dell’architettura: prevenzione focalizzata sui “primitivi” di attacco e operations basate su un modello human-on-the-loop. L’accesso ai modelli di frontiera rappresenta il terzo elemento, e ora è disponibile.

È questo il lavoro. Ed è un lavoro che Sophos è lieta di svolgere insieme a OpenAI e alla comunità TAC.

Informazioni sull'autore

John Peterson

John Peterson is Chief Technology Officer at Sophos, where he leads the company’s AI vision and technical strategy, spanning development, architecture, quality, product delivery, and operations. John is passionate about building products that improve security outcomes for customers and partners and enabling innovation in the teams he leads to ensure Sophos' products evolve to meet the security challenges of the next decade and beyond.

Previously at Sophos, John served as Chief Development Officer among other engineering leadership roles. Prior to Sophos, John held multiple engineering leadership positions at Carbonite where he focused on driving innovation and improvements into their core endpoint products, Server Infrastructure and SaaS Platform. Prior to Carbonite, John held multiple engineering roles for Computer Sciences Corporation, Magenic and Axceler Software.