Sam Altman dwa tygodnie temu wziął udział w dyskusji o modelu Claude Mythos od Anthropica. Mythos to model wyspecjalizowany w cyberbezpieczeństwie – znajduje luki zero-day w głównych systemach operacyjnych i przeglądarkach, łańcuchuje podatności w wieloetapowe ataki. Anthropic zdecydował, że nie wypuszcza go publicznie, a dostęp dostają tylko wybrani partnerzy po weryfikacji. Altman skomentował tę strategię ostro, nazywając ją “marketingiem strachu” i niepotrzebnym gatekeepingiem. 30 kwietnia 2026 OpenAI ogłosiło rollout swojego konkurencyjnego modelu – GPT-5.5 Cyber. Dostęp? Tylko dla “kluczowych obrońców cybernetycznych” (ang. critical cyber defenders) po procesie weryfikacji credentials i intencji użycia. Krótko mówiąc, OpenAI właśnie skopiowało dokładnie tę samą politykę, którą jego CEO publicznie wyśmiewał. Hacker News zauważył ironię natychmiast, a branża dostała kolejny dowód, że “too dangerous to release” przestaje być wyjątkiem i staje się normą.
Co dokładnie powiedział Altman o Mythos
Anthropic zaprezentował Mythos w ramach programu Project Glasswing – cyberbezpieczeństwo z Claude’em dla AWS, Apple i Microsoftu na początku kwietnia 2026. Co więcej, model robił rzeczy, które wcześniej leżały wyłącznie w rękach najlepszych białoetykietowych hakerów – znajdował zero-daye w Windowsie, macOS i głównych przeglądarkach, a potem łączył je w działające exploity. Dlatego Anthropic od razu zastrzegł, że dostępu nie będzie dla wszystkich i że firmy aplikujące o Mythos przejdą rygorystyczną weryfikację.
Sam Altman, CEO OpenAI, przy paru okazjach publicznie kpił z tej strategii. Określił ją jako “fear-based marketing” i sugerował, że Anthropic generuje sztuczne wrażenie niebezpieczeństwa wokół własnego modelu, żeby budować premium markę. Ton był pewny siebie – OpenAI rzekomo miał lepsze podejście, oparte na otwartości i dostępie dla wszystkich, którzy mogą zapłacić.
Wystarczyło dwa tygodnie, żeby ta sama firma zrobiła ten sam ruch, na który publicznie wybrzydzała.
W tle było jeszcze jedno wydarzenie. 21 kwietnia 2026 Bloomberg i TechCrunch ujawniły, że nieautoryzowana grupa dostała się do Mythos pomimo restrykcji. Anthropic potwierdził incydent, choć nie ujawnił szczegółów. Tydzień później Biały Dom zasygnalizował, że jest przeciwny rozszerzeniu dostępu do Mythos, ze względu na ryzyko cyberbezpieczeństwa narodowego. W rezultacie cała ta sekwencja stworzyła kontekst, w którym ogłoszenie OpenAI o ograniczonym dostępie do Cyber nie wyglądało na przypadkowe.
Jak działa “ograniczony dostęp” do GPT-5.5 Cyber
OpenAI nie ujawnił pełnych specyfikacji Cyber, ale szkic procesu już znamy. Pierwsza fala dostępu trafia do “krytycznych obrońców cybernetycznych” (critical cyber defenders), co w praktyce oznacza zespoły Red Team z dużych firm technologicznych, agencje rządowe USA oraz wybrane firmy pentestowe. Co więcej, każdy aplikujący przechodzi vetting – sprawdzane są referencje, historia zawodowa i deklarowany cel użycia.
OpenAI zapowiada rozszerzenie dostępu w czasie, ale dopiero po konsultacjach z rządem federalnym USA i potwierdzeniu, że nowi użytkownicy spełniają “rygorystyczne kwalifikacje cyberbezpieczeństwa”. W praktyce wygląda to identycznie jak proces, który przyjął Anthropic dla Mythos. Różnica? Trochę inna komunikacja. Anthropic od początku mówił o ograniczonym dostępie z poziomu “to jest niebezpieczne”. Natomiast OpenAI ubrało to samo w narrację o “odpowiedzialnym wdrożeniu z rządem”.
Ironia jest dwuwarstwowa. Altman publicznie wyśmiewał strategię, którą jego firma teraz powiela krok w krok. Co więcej, dokładnie ta sama linia argumentacji – “potrzebujemy konsultacji z rządem” – była wcześniej używana przez Anthropica i wtedy określana jako sztuczny straszak. Hacker News i TechCrunch wyłapali tę zmianę narracji w ciągu godzin od ogłoszenia OpenAI.
“Too dangerous to release” – nowa norma w branży AI
Cała sytuacja jest częścią szerszego trendu, który Time nazwał kilka dni temu nową normą branży: “too dangerous to release”. Coraz więcej modeli AI wypuszczanych w 2026 trafia do wybranej grupy użytkowników, a nie do publicznego API. Mythos i Cyber są przykładami w cyberbezpieczeństwie. Z kolei ChatGPT Rosalind od OpenAI poszedł podobną drogą w naukach biomedycznych. Anthropic natomiast wcześniej zrobił to z Claude Opus 4.6 dla niektórych branż.
Co to oznacza dla rynku? Po pierwsze, model kontraktowy dla AI staje się standardem. Zamiast jednego API z cennikiem dla wszystkich, pojawiają się produkty z trzema warstwami: publiczny tier (np. ChatGPT, Claude), tier dla developerów (API), tier “trusted access” dla wybranych. Ten trzeci to nowość i szybko rośnie. GPT-5.5 OpenAI zadebiutował z wieloma akcentami safety, a Cyber jest jego rozwinięciem dla niszy security.
Po drugie, presja regulacyjna rośnie. Biały Dom interweniujący w sprawie Mythos to silny sygnał, ponieważ rząd USA zaczyna traktować modele AI jako infrastrukturę krytyczną i wymaga konsultacji. Podobne ruchy widzimy w Europie wokół EU AI Act, a także w Chinach przy ograniczeniach eksportu modeli. Dla firm budujących produkty na AI to zmienia kalkulację: jeśli dostawca może odciąć dostęp na życzenie regulatora, to Twoja architektura musi przewidywać taki scenariusz.
Po trzecie, marketingowo wygrywa ten, kto skuteczniej tłumaczy ten sam ruch. Anthropic z Mythos dostał krytykę za “fear-based marketing”. OpenAI z Cyber sprzedaje to jako “responsible deployment with government oversight”. Dokładnie ten sam mechanizm, dwa różne marketingi. Branża jeszcze nie zdecydowała, który język wygrywa, ale póki co OpenAI sprawia wrażenie, że tłumaczy się sprawniej.
Co z tego wynika dla polskich firm i security teamów
Polski rynek bezpieczeństwa IT mocno korzysta z modeli AI – w analizie podatności, threat huntingu, automatycznym pentestingu narzędziami typu PentestGPT albo własnych pipeline’ach z Claude’em. Decyzja OpenAI i Anthropica o ograniczeniu dostępu do najmocniejszych modeli cybersec ma więc realny wpływ na polskie zespoły.
Co konkretnie się zmienia? Dla większych firm pentestowych (z USA-based klientami albo certyfikatami międzynarodowymi) ścieżka aplikacji o Mythos czy Cyber pozostaje otwarta, choć wymaga przygotowania dokumentacji i procesu weryfikacji. Natomiast dla mniejszych zespołów albo freelancerów to oznacza, że najsilniejsze narzędzia AI w tej dziedzinie staną się niedostępne. Dlatego trzeba liczyć się z tym, że benchmarki publikowane w mediach nie odzwierciedlają tego, co dostaniesz w publicznym API GPT-5.5 czy Claude’a.
Dla polskiego pentestera oznacza to, że luka między “co AI może w teorii” a “co masz na biurku” będzie rosnąć. Najmocniejsze modele zostaną w rękach wybranych.
W projektach klienckich zauważamy też, że pojawiają się pytania o model rozliczeń. Kontrakty enterprise z OpenAI i Anthropikiem coraz częściej zawierają klauzule “trusted use” – czyli wymóg, że klient sam przejdzie weryfikację i zobowiąże się do określonego sposobu używania modelu. To jest kontrakt prawny, nie tylko techniczny SLA. Polskie firmy, które dotąd korzystały z API per zapytanie, teraz muszą uwzględnić koszt prawny i czas na taki proces.
Kurs n8n 2.0 · Kodożercy
Od zera do własnych automatyzacji, bez doświadczenia
Kurs n8n 2.0 od Kodożerców przeprowadzi Cię krok po kroku przez budowanie prawdziwych automatyzacji. Od webhooków, przez integracje z API, po własne przepływy danych, wszystko bez programowania.
Sprawdź kurs n8n 2.0 →
Podsumowanie
Sam Altman publicznie skrytykował Anthropic za ograniczanie dostępu do Mythos, nazywając to “marketingiem strachu”. Dwa tygodnie później OpenAI ogłosiło, że GPT-5.5 Cyber dostaną tylko wybrani “krytyczni obrońcy cybernetyczni” po vettingu i konsultacjach z rządem USA. Ironia jest oczywista, ale ważniejsza jest tendencja: “too dangerous to release” staje się nową normą w branży AI. Modele cybersec, biomedyczne i te z potencjałem dual-use coraz częściej trafiają do wybranych użytkowników, nie do publicznego API. Dla polskich firm security to oznacza dwie rzeczy. Najmocniejsze narzędzia AI staną się dostępne tylko dla wybranych. W kontraktach enterprise z OpenAI i Anthropikiem pojawią się klauzule prawne wymagające weryfikacji użytkownika. Co dalej? Obserwujemy, czy regulatorzy w UE i Polsce pójdą tą samą drogą i zaczną wymagać podobnych warstw “trusted access” dla modeli klasyfikowanych jako wysokiego ryzyka.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
