1. Naslov i uvod
OpenAI svoj novi model GPT‑5.5 Cyber ne predstavlja kao još jednu opciju u ChatGPT‑u, nego kao alat za ograničeni krug „kritičnih branitelja“. Ironija je očita: nakon što je Sam Altman javno prozvao Anthropic zbog zatvorenog pristupa alatu Mythos, sada uvodi gotovo isti režim za OpenAI‑jev Cyber. No važnije od retoričkog preokreta jest činjenica da se AI u kibernetičkoj domeni sve više tretira kao strateška sposobnost, a ne kao uobičajeni softver. U nastavku analiziramo tko dobiva, tko ostaje vani i što to znači za EU i regiju jugoistočne Europe.
2. Vijest ukratko
Kako prenosi TechCrunch, OpenAI započinje fazno uvođenje specijaliziranog modela „GPT‑5.5 Cyber“. Model je osmišljen za napredne zadatke kibernetičke sigurnosti: penetracijsko testiranje, otkrivanje i iskorištavanje ranjivosti te reverzno inženjerstvo zloćudnog softvera.
Altman je na X‑u najavio da će Cyber u narednim danima dobiti „kritični kibernetički branitelji“. Pristup nije otvoren – organizacije moraju putem obrasca na webu OpenAI‑ja opisati svoje kompetencije i planiranu uporabu. Tvrtka navodi da surađuje s vladom SAD‑a kako bi definirala kriterije i kasnije proširila krug ovlaštenih korisnika.
Time OpenAI preuzima pristup koji je vrlo sličan onome koji je Anthropic primijenio kod Mythosa, a koji je Altman ranije ismijavao kao marketing temeljen na strahu.
3. Zašto je to važno
Cyber je klasičan primjer dvonamjenskog alata. Isti model koji može pomoći SOC timu HEP‑a, JANAF‑a ili luke Rijeka da pronađe sigurnosne rupe, može pomaknuti granice i za napadače: ubrzati razvoj eksploita, olakšati lateralno kretanje po mreži ili automatizirati prilagodbu ransomwarea.
Zato potpuno otvoren pristup doista ne bi bio odgovoran. No istovremeno, ovakav režim dodatno koncentrira moć. Glavni dobitnici bit će države i globalne korporacije s izravnim vezama prema OpenAI‑ju i velikim cloud igračima. Oni će dobiti alat koji može višestruko pojačati učinkovitost i napadačkih i obrambenih timova.
Gubitnici su mali i srednji: lokalni ISP‑ovi, bolnice, komunalna poduzeća, turističke i logističke kompanije duž Jadrana, MSP‑ovi koje NIS2 već stavlja pod dodatne obveze. Za mnoge od njih AI‑asistent za sigurnost mogao bi biti jedini način da kompenziraju manjak stručnjaka – no teško je zamisliti da će imati prioritet u redu za Cyber.
Uz to, narušava se povjerenje. OpenAI je godinama gradio imidž tvrtke koja „demokratizira“ moćne modele i kritizira konkurente zbog zatvorenosti. Sada se svjesno pretvara u čuvara kapije za jedno od najosjetljivijih područja primjene AI‑ja.
4. Šira slika
Cyber se uklapa u nekoliko većih trendova. Prvo, napušta se ideja da bi najjači modeli trebali biti široko dostupni. Anthropic ograničava Mythos, Google razvija sigurnosno orijentirane modele za internu i partnersku uporabu, a Microsoft gradi Security Copilot na OpenAI‑ju i nudi ga uglavnom najvećim klijentima.
Drugo, vidimo ponavljanje obrazaca poznatih iz povijesti kriptografije i „zero‑day“ arsenala. Sposobnosti koje mogu promijeniti ravnotežu između napadača i branitelja završavaju pod kontrolom država i malog broja velikih dobavljača. Argument je uvijek isti: ako to ne kontroliramo mi, kontrolirat će protivnik.
Novost je što jedan AI‑model može utjeloviti znanje kompletnog tima istraživača i inženjera, a u slučaju curenja može se beskonačno kopirati. Već sada postoje navodi da je neautorizirana grupa došla do Mythosa usprkos restrikcijama. Teško je vjerovati da Cyber – ili slični modeli – neće prije ili kasnije završiti u sivom području: djelomično iscureni, djelomično preslikani u open‑source zajednici.
Na horizontu se nazire trodijelni ekosustav: strogo kontrolirani alati poput Cybera, „light“ komercijalni asistenti integrirani u sigurnosne proizvode te neformalni svijet otvorenih i procurenih modela koje će koristiti i obrana i kriminalne grupe.
5. Europski i regionalni kontekst
Za EU ovo je još jedan podsjetnik koliko ovisi o američkim tvrtkama u ključnim digitalnim segmentima. U isto vrijeme Unija uvodi stroga pravila: GDPR, DSA, DMA, Direktivu NIS2 i nadolazeći Akt o umjetnoj inteligenciji. Svi oni naglašavaju zaštitu podataka, odgovornost i kibernetičku otpornost.
Za hrvatske i regionalne organizacije dilema je dvostruka. S jedne strane, korištenje Cybera potencijalno bi ojačalo obranu kritične infrastrukture – od energetike i prometa do luke Ploče ili LNG terminala. S druge strane, radi se o alatu američke privatne tvrtke, s pristupom reguliranim u dogovoru s američkom vladom, koji bi najvjerojatnije bio hostan u američkom oblaku.
To otvara pitanja usklađenosti s GDPR‑om, NIS2 i nacionalnim pravilima te pitanje digitalnog suvereniteta: koliko je mudro otkrivati detalje vlastitih ranjivosti sustavu izvan jurisdikcije EU? Istodobno, u Europi raste nekoliko potencijalnih alternativa – od Mistrala i Aleph Alphe do manjih specijaliziranih kuća – no one su još daleko od globalnog utjecaja OpenAI‑ja.
Za SEE startup ekosustav (Zagreb, Ljubljana, Beograd, Sarajevo) ovo je i prilika: razviti nišne AI alate za sigurnost prilagođene lokalnom tržištu, regulativi i jezicima. No za to će trebati kapital, podatke i političku volju.
6. Što slijedi
Vrlo je vjerojatno da će se pristup Cyberu razviti u svojevrsni „KYC za AI“: dubinska provjera korisnika, detaljni logovi, revizije i strogo propisana dopuštena uporaba. Sličan model možemo očekivati i kod budućih dvonamjenskih AI‑sustava u područjima poput biotehnologije ili autonomnih oružanih sustava.
Za hrvatske i regionalne čitatelje važno je pratiti tri stvari:
- Tko će se smatrati „kritičnim braniteljem“ – hoće li u to ući nacionalni CERT‑ovi, operatori ključnih usluga i MSP‑ovi, ili će krug ostati ograničen na najveće globalne igrače.
- Stav EU i nacionalnih regulatora – hoće li se alati poput Cybera smatrati visokorizičnima prema AI aktu i NIS2, s posebnim zahtjevima za transparentnost i nadzor.
- Pojavu alternativnih rješenja – hoće li europski i regionalni akteri razviti ili zajednički financirati vlastite sigurnosne modele, možda temeljene na otvorenom kodu i hostane u europskim podatkovnim centrima.
Ne treba zaboraviti ni rizik curenja. Jedan ozbiljan incident mogao bi „osloboditi“ Cyber ili njegovu buduću verziju izvan kontroliranog okruženja. Tada će pitanje prestati biti tko ima službeni pristup i postat će: kako živjeti u svijetu u kojem napadači i branitelji imaju gotovo iste AI alate.
7. Zaključak
Ograničavanje pristupa Cyberu vjerojatno je odgovornije od potpuno otvorenog modela, ali naglašava koliko se ključne AI sposobnosti koncentriraju kod nekolicine američkih tvrtki. Umjesto obećane „demokratizacije“ dobivamo elitni klub kibernetičke sigurnosti. Za Hrvatsku, EU i širu regiju pravo pitanje je hoće li prihvatiti tu ovisnost kao zadanu ili će iskoristiti ovaj trenutak da počnu graditi vlastite, suverenije AI sigurnosne alate – prije nego što pravila igre postanu trajno definirana drugdje.
