Do tego tygodnia dostęp do wyspecjalizowanego modelu OpenAI dla cyberbezpieczeństwa był luksusem klubu G7 i kilku zaufanych sojuszników. W europejskiej mapie tej technologii Polska staje właśnie trzecim krajem z autoryzowanym dostępem. NASK wraz z zespołem CERT Polska otrzymał od OpenAI dostęp do GPT-5.5 Cyber w ramach programu Trusted Access for Cyber. To nie jest okrojona wersja czatu, którą znamy z subskrypcji Plus. To wyspecjalizowany model do wykrywania podatności w kodzie źródłowym, analizy złośliwego oprogramowania oraz zadań z informatyki śledczej. Dostęp działa na zasadach programu partnerskiego, a każdy taki transfer wymaga indywidualnej aprobaty administracji USA. Polska jest pierwszym krajem w Europie Środkowo-Wschodniej, który tę zgodę dostał. Warunek jest tylko jeden i wystarczająco poważny. Model nie zostanie udostępniony publicznie, wyłącznie zweryfikowanym zespołom badawczym pracującym pod parasolem instytutu.
Co dokładnie robi GPT-5.5 Cyber i czym różni się od zwykłego czatu
GPT-5.5 Cyber to wariant modelu OpenAI zbudowany wokół konkretnej dziedziny. Zamiast pomagać w pisaniu maili czy generowaniu kodu na zamówienie, uczy się rozumieć strukturę oprogramowania od strony bezpieczeństwa. Model potrafi analizować kod źródłowy pod kątem klasycznych błędów typu buffer overflow, złego zarządzania pamięcią czy niepoprawnej walidacji wejścia. Do tego dokłada rozumowanie na temat malware. W praktyce oznacza to możliwość rozłożenia próbki na czynniki pierwsze. Model rozpoznaje techniki, mechanizmy ukrywania się przed zabezpieczeniami i punkty, w których program próbuje eskalować uprawnienia. Trzeci obszar to informatyka śledcza. Tu chodzi o odtworzenie zdarzeń w systemie po incydencie i połączenie fragmentów logów, obrazów pamięci oraz śladów w systemie plików w jedną spójną narrację.
Poza tym GPT-5.5 Cyber wchodzi jako element szerszej oferty OpenAI dla obrońców. Program o nazwie Daybreak łączy dziś kilkanaście organizacji z całego świata. Wspólnym mianownikiem jest praca badawcza w cyberbezpieczeństwie oraz gotowość publikowania wyników w formie akademickiej. NASK dołącza jako jeden z niewielu ośrodków spoza świata anglosaskiego. Dla polskiego CERT-u oznacza to nie tylko dostęp do narzędzia, ale też miejsce przy stole, przy którym ustala się, co ten typ modeli powinien umieć w kolejnych generacjach.
Dlaczego akurat Polska – klub Daybreak i geopolityka dostępu
Na to pytanie znaczna część polskich mediów odpowiedziała językiem dumy narodowej. Warto jednak spojrzeć chłodniej. Decyzja OpenAI o dostępie do GPT-5.5 Cyber wymaga trzech niezależnych zielonych świateł. Firmy, która daje technologię, amerykańskiej administracji, która musi zaaprobować każdy taki transfer, oraz odbiorcy, który musi mieć realne zdolności badawcze do wykorzystania modelu. NASK spełnia dwa ostatnie warunki dłużej, niż wydaje się z zewnątrz. Instytut od kilkunastu lat prowadzi badania nad sztuczną inteligencją w bezpieczeństwie sieci, a CERT Polska ma bogatą historię publikacji naukowych. Do tego w Waszyngtonie NASK ma dziś status partnera akademickiego, nie tylko operacyjnego.
Dodatkowo dochodzi kontekst regionalny. Polska jest dziś istotnym punktem infrastruktury cyfrowej wschodniej flanki NATO, z własnymi węzłami wymiany ruchu i strategiczną pozycją na trasach światłowodowych między północą a południem kontynentu. Dlatego wybór partnera przez OpenAI ma także wymiar geopolityczny. Model nie trafia do Włoch ani do Hiszpanii, chociaż tam też pracują zespoły cyber najwyższej klasy. Trafia tam, gdzie ryzyko cyberataków na infrastrukturę krytyczną jest największe, a partner ma dojrzałe kanały wymiany informacji z sojusznikami. Jest to też sygnał, że amerykańska administracja zaczyna traktować NASK jako zweryfikowanego obrońcę pierwszego wyboru w tej części kontynentu. Rok temu takich sygnałów było zdecydowanie mniej.
Co ten dostęp zmienia w polskiej administracji publicznej
Praktyczna zmiana będzie mniej spektakularna, niż zapowiadają nagłówki. GPT-5.5 Cyber to narzędzie badawcze. Nie zastępuje inżynierów ani nie rozwiązuje sam z siebie zaległych podatności w resortowych systemach. Dyrektor NASK Radosław Nielek podkreślał wprost, że wyniki modelu wymagają weryfikacji eksperta, a samo narzędzie ma wspierać zespoły cyber, nie zastępować ich pracy. Dlatego pierwsze miesiące wdrożenia mają być poświęcone bardzo konkretnym zadaniom. Chodzi o skanowanie kodu wybranych systemów administracji, analizę zbioru próbek malware zgromadzonych w krajowych repozytoriach oraz przygotowanie metodyki, którą można będzie potem udostępnić innym instytucjom.
Dla zespołów cyber pracujących w polskiej administracji zmiana idzie jednak głębiej niż jedno narzędzie. Do tej pory najmocniejsze modele wyszukujące podatności były zasobem trudno dostępnym i drogim. Trafiały głównie do firm sektora prywatnego oraz do amerykańskich agencji federalnych. Poza tym metody, które te modele wypracowywały, rzadko przenikały do publicznych zestawień. Program Daybreak zmienia jeden element tej układanki. Informacje o znalezionych podatnościach mają być publikowane, chociaż z pominięciem mechaniki eksploatacji i szczegółów projektów dopóki trwa skoordynowany disclosure, czyli okno, w którym producent i badacze uzgadniają termin ujawnienia luki. W praktyce oznacza to lepiej opatrzone bazy CVE, szybsze łatki producentów oprogramowania i wcześniejsze ostrzeżenia dla polskich zespołów, które pilnują własnej infrastruktury.
Co ten dostęp mówi o strategii OpenAI
OpenAI udostępnia GPT-5.5 Cyber wybranym partnerom w ramach frameworka Trusted Access for Cyber i nie jest to zwykły ruch dobroczynny. Firma buduje sobie sieć badawczą, która publikuje wyniki, testuje nowe warianty modelu na realnych zadaniach cyberbezpieczeństwa i wysyła informacje zwrotne do zespołu w San Francisco. Do tego dochodzi warstwa reputacyjna. W czasie, gdy OpenAI negocjuje z rządem USA oddanie 5 procent udziałów, sygnał, że firma wspiera sojuszników NATO w obronie infrastruktury krytycznej, jest wart więcej niż roczne kampanie public relations. Dla polskich zespołów cyberbezpieczeństwa dostęp jest jednak realny i konkretny. Reszta należy do NASK i do tempa, w którym instytut zbierze wyniki na tyle konkretne, żeby publikować je w podręcznikach.
Pierwsza Misja AI · Kodożercy
AI bez technikaliów – kurs i certyfikat
Pierwsza Misja AI to kurs Kodożerców dla absolutnych początkujących. Sci-fi fabuła, gamifikacja, prawdziwy GPT-4 w ćwiczeniach, certyfikat na koniec.
Zacznij Pierwszą Misję →

Podsumowanie
GPT-5.5 Cyber w CERT Polska to nie jest opowieść o polskim skoku technologicznym. To opowieść o dojrzałych relacjach naukowych i strategicznej pozycji Polski na wschodniej flance NATO, które przełożyły się na dostęp do narzędzia, którym w Europie chwali się dziś jedynie nieliczna grupa krajów. Dla resortów, których systemy będą teraz skanowane przez NASK, oznacza to konkretną poprawę tempa reakcji na podatności. Dla polskich firm cyberbezpieczeństwa – okazję, żeby korzystać z metod wypracowanych przez CERT Polska po pierwszej fali wyników. A dla samego OpenAI dowód, że model biznesowy dostawcy AI dla sektora obronnego zaczyna wyglądać inaczej niż zwykła sprzedaż licencji. Bardziej jak partnerstwo państwowo-akademickie, w którym pieniądze płyną w drugą stronę. W danych, publikacjach i wiedzy o realnych zagrożeniach dla naszej części Europy.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.



