Das britische AI Security Institute (AISI) hat offene KI-Modelle in einer neuen Analyse mit den Cyberfähigkeiten von Spitzensystemen wie Claude Opus 4.6 verglichen. Die am 17. Juli veröffentlichte Analyse zeigt: Modelle wie GLM-5.2 und DeepSeek V4-Pro liegen bei Angriffsaufgaben nur noch vier bis sieben Monate hinter der Frontier. Im Jahr 2025 betrug der Abstand noch sechs bis zehn Monate.
Zwei Testverfahren messen Angriffsfähigkeiten
Für die Untersuchung nutzte das AISI zwei Methoden. Zum einen prüften die Forschenden 70 eng umrissene Cyberaufgaben in vier Schwierigkeitsstufen, von technischen Grundlagen bis zu Expertenniveau – darunter Schwachstellenanalyse, Reverse Engineering und Kryptographie. Zum anderen setzte das Institut sogenannte Cyber Ranges ein: simulierte Firmennetzwerke, in denen die Modelle eigenständig mehrstufige Angriffe planen und ausführen mussten, ganz ohne menschliche Zwischenschritte. Im Szenario „The Last Ones” bestand ein vollständiger Angriff aus 32 aufeinanderfolgenden Schritten, von der ersten Aufklärung des Zielnetzwerks bis zur finalen Kompromittierung.
Als Vergleichsmaßstab dienten mehrere geschlossene Spitzenmodelle: Anthropics Opus 4.6 aus dem Februar 2026 und Opus 4.5 aus dem November 2025 sowie GPT-5.3-Codex, Mythos Preview und GPT-5.5. Die offenen Modelle GLM-5.2 des chinesischen Anbieters Zhipu AI und DeepSeek V4-Pro traten gegen diese Referenzsysteme an. GLM-5.2 kam im Juni 2026 mit 753 Milliarden Parametern und einem Kontextfenster von einer Million Token auf den Markt. DeepSeek V4-Pro ist laut der eigenen Ankündigung des Unternehmens ein Mixture-of-Experts-Modell mit 1,6 Billionen Gesamt- und 49 Milliarden aktiven Parametern.
GLM-5.2 erreicht Opus-Niveau zu einem Bruchteil der Kosten
Bei den 70 engen Cyberaufgaben erreichte GLM-5.2 laut der AISI-Analyse über alle vier Schwierigkeitsstufen hinweg ein mit Opus 4.6 vergleichbares Ergebnis. Deutliche Unterschiede zeigten sich dagegen bei den Kosten pro gelöster Aufgabe: Opus 4.6 kostete im Schnitt 15,17 US-Dollar, GLM-5.2 kam auf 6,12 US-Dollar und DeepSeek V4-Pro lediglich auf 0,28 US-Dollar. Offene Modelle erreichen demnach ein ähnliches Angriffsniveau zu einem Bruchteil der Kosten. Zudem laufen sie lokal, ohne die Sicherheitsvorkehrungen und Nutzungsrichtlinien, die Anbieter wie Anthropic oder OpenAI ihren gehosteten Modellen mitgeben. Wer ein Modellgewicht einmal heruntergeladen hat, kann es auf eigener Hardware betreiben und ist an keine Anbietersperre für missbräuchliche Anfragen mehr gebunden.
Der aktuelle Cyber-Befund reiht sich in den breiter angelegten Frontier AI Trends Report des Instituts ein, der zwei Jahre an Tests von über 30 Spitzensystemen auswertet. Über alle untersuchten Bereiche hinweg liege der Abstand offener zu geschlossenen Modellen inzwischen bei rund vier bis acht Monaten, heißt es dort.
Unabhängiger Sicherheitstest bestätigt den Trend
Zu einem ähnlichen Ergebnis kam bereits Ende Juni das Sicherheitsunternehmen Semgrep, das Code-Scanner für Unternehmen entwickelt, in einem eigenen Benchmark. Für den Vergleich hielten die Forschenden Datensatz, Bewertungsmetrik und System-Prompt konstant und variierten nur das Modell samt Werkzeugausstattung. Getestet wurde die Erkennung von IDOR-Schwachstellen (unsicheren direkten Objektreferenzen), über die sich fremde Nutzerdaten auslesen lassen. GLM-5.2 erzielte dabei einen F1-Wert von 39 Prozent und lag damit vor Claude Opus 4.6 mit 37 Prozent sowie vor älteren Opus-Versionen mit 28 Prozent. Das offene Modell lief dabei nur mit einer einfachen Eingabeaufforderung und dem Codebestand. Es erhielt nicht die zusätzliche Werkzeugausstattung, mit der Semgreps eigene Multimodal-Pipeline auf Basis von GPT-5.5 einen Spitzenwert von 61 Prozent erreichte. Die Kosten pro gefundener Schwachstelle bezifferte Semgrep auf rund 0,17 US-Dollar – etwa ein Sechstel dessen, was vergleichbare Spitzenmodelle kosten. Die Forschenden betonten, das offene Modell habe dieses Ergebnis ganz ohne die Endpunkt-Erkennung erzielt, die Semgreps eigene Pipeline zusätzlich unterstützt. So entstand ein direkter Vergleich der reinen Modellfähigkeit, unabhängig von der jeweiligen Werkzeugkette.
Entscheidend wird, ob Anbieter offener Modelle wie Zhipu AI und DeepSeek ihre Systeme künftig vor der Veröffentlichung eigenen Sicherheitstests unterziehen. Bislang bleibt diese Aufgabe weitgehend bei externen Institutionen wie dem AISI hängen. Beide Unternehmen veröffentlichen ihre Modellgewichte weiterhin frei zugänglich, ohne dass Dritte vorab prüfen, wie leicht sich die Systeme für Angriffe zweckentfremden lassen.


