Sicherheit

GLM-5.2 senkt Cyber-Rückstand auf vier bis sieben Monate

3 Min. Lesezeit
Ein Sicherheitsanalyst vor Monitoren mit Netzwerk-Angriffssimulation und Vergleichsdiagrammen der KI-Modelle GLM-5.2, DeepSeek und Claude Opus in einem Security Operations Center bei Nacht. Generiertes Bild mit GPT Image 2
Ein Sicherheitsanalyst vor Monitoren mit Netzwerk-Angriffssimulation und Vergleichsdiagrammen der KI-Modelle GLM-5.2, DeepSeek und Claude Opus in einem Security Operations Center bei Nacht.

TL;DR Too Long; Didn’t read

Eine Analyse des AI Security Institute vom 17. Juli 2026 zeigt: Chinesische Open-Weight-Systeme wie GLM-5.2 und DeepSeek V4-Pro holen bei Angriffsfähigkeiten gegenüber proprietären Spitzenmodellen deutlich auf. Der Rückstand schrumpfte binnen eines Jahres von sechs bis zehn auf vier bis sieben Monate. Ein unabhängiger Benchmark des Sicherheitsunternehmens Semgrep bestätigte diesen Trend bereits im Juni.

Das Wichtigste in Kürze

  • AISI testete GLM-5.2 und DeepSeek V4-Pro gegen Claude Opus 4.6, Opus 4.5, GPT-5.3-Codex, Mythos Preview und GPT-5.5.
  • Bei 70 engen Cyberaufgaben erzielte GLM-5.2 über alle vier Schwierigkeitsstufen ein mit Opus 4.6 vergleichbares Ergebnis.
  • GLM-5.2 löste Aufgaben für 6,12 Dollar, DeepSeek V4-Pro für 0,28 Dollar – Opus 4.6 kostete 15,17 Dollar pro Aufgabe.
  • Semgreps eigener Benchmark bestätigte im Juni: GLM-5.2 schlug Claude Opus 4.6 bei der Erkennung von Code-Schwachstellen.
  • Offene Modelle laufen lokal auf eigener Hardware, ganz ohne die Nutzungssperren gehosteter Anbietermodelle.
  • Der Cyber-Ranges-Test „The Last Ones" simulierte Angriffe mit 32 aufeinanderfolgenden Schritten auf Firmennetzwerke.

Das britische AI Security Institute (AISI) hat offene KI-Modelle in einer neuen Analyse mit den Cyberfähigkeiten von Spitzensystemen wie Claude Opus 4.6 verglichen. Die am 17. Juli veröffentlichte Analyse zeigt: Modelle wie GLM-5.2 und DeepSeek V4-Pro liegen bei Angriffsaufgaben nur noch vier bis sieben Monate hinter der Frontier. Im Jahr 2025 betrug der Abstand noch sechs bis zehn Monate.

Zwei Testverfahren messen Angriffsfähigkeiten

Für die Untersuchung nutzte das AISI zwei Methoden. Zum einen prüften die Forschenden 70 eng umrissene Cyberaufgaben in vier Schwierigkeitsstufen, von technischen Grundlagen bis zu Expertenniveau – darunter Schwachstellenanalyse, Reverse Engineering und Kryptographie. Zum anderen setzte das Institut sogenannte Cyber Ranges ein: simulierte Firmennetzwerke, in denen die Modelle eigenständig mehrstufige Angriffe planen und ausführen mussten, ganz ohne menschliche Zwischenschritte. Im Szenario „The Last Ones” bestand ein vollständiger Angriff aus 32 aufeinanderfolgenden Schritten, von der ersten Aufklärung des Zielnetzwerks bis zur finalen Kompromittierung.

Als Vergleichsmaßstab dienten mehrere geschlossene Spitzenmodelle: Anthropics Opus 4.6 aus dem Februar 2026 und Opus 4.5 aus dem November 2025 sowie GPT-5.3-Codex, Mythos Preview und GPT-5.5. Die offenen Modelle GLM-5.2 des chinesischen Anbieters Zhipu AI und DeepSeek V4-Pro traten gegen diese Referenzsysteme an. GLM-5.2 kam im Juni 2026 mit 753 Milliarden Parametern und einem Kontextfenster von einer Million Token auf den Markt. DeepSeek V4-Pro ist laut der eigenen Ankündigung des Unternehmens ein Mixture-of-Experts-Modell mit 1,6 Billionen Gesamt- und 49 Milliarden aktiven Parametern.

GLM-5.2 erreicht Opus-Niveau zu einem Bruchteil der Kosten

Bei den 70 engen Cyberaufgaben erreichte GLM-5.2 laut der AISI-Analyse über alle vier Schwierigkeitsstufen hinweg ein mit Opus 4.6 vergleichbares Ergebnis. Deutliche Unterschiede zeigten sich dagegen bei den Kosten pro gelöster Aufgabe: Opus 4.6 kostete im Schnitt 15,17 US-Dollar, GLM-5.2 kam auf 6,12 US-Dollar und DeepSeek V4-Pro lediglich auf 0,28 US-Dollar. Offene Modelle erreichen demnach ein ähnliches Angriffsniveau zu einem Bruchteil der Kosten. Zudem laufen sie lokal, ohne die Sicherheitsvorkehrungen und Nutzungsrichtlinien, die Anbieter wie Anthropic oder OpenAI ihren gehosteten Modellen mitgeben. Wer ein Modellgewicht einmal heruntergeladen hat, kann es auf eigener Hardware betreiben und ist an keine Anbietersperre für missbräuchliche Anfragen mehr gebunden.

Der aktuelle Cyber-Befund reiht sich in den breiter angelegten Frontier AI Trends Report des Instituts ein, der zwei Jahre an Tests von über 30 Spitzensystemen auswertet. Über alle untersuchten Bereiche hinweg liege der Abstand offener zu geschlossenen Modellen inzwischen bei rund vier bis acht Monaten, heißt es dort.

Unabhängiger Sicherheitstest bestätigt den Trend

Zu einem ähnlichen Ergebnis kam bereits Ende Juni das Sicherheitsunternehmen Semgrep, das Code-Scanner für Unternehmen entwickelt, in einem eigenen Benchmark. Für den Vergleich hielten die Forschenden Datensatz, Bewertungsmetrik und System-Prompt konstant und variierten nur das Modell samt Werkzeugausstattung. Getestet wurde die Erkennung von IDOR-Schwachstellen (unsicheren direkten Objektreferenzen), über die sich fremde Nutzerdaten auslesen lassen. GLM-5.2 erzielte dabei einen F1-Wert von 39 Prozent und lag damit vor Claude Opus 4.6 mit 37 Prozent sowie vor älteren Opus-Versionen mit 28 Prozent. Das offene Modell lief dabei nur mit einer einfachen Eingabeaufforderung und dem Codebestand. Es erhielt nicht die zusätzliche Werkzeugausstattung, mit der Semgreps eigene Multimodal-Pipeline auf Basis von GPT-5.5 einen Spitzenwert von 61 Prozent erreichte. Die Kosten pro gefundener Schwachstelle bezifferte Semgrep auf rund 0,17 US-Dollar – etwa ein Sechstel dessen, was vergleichbare Spitzenmodelle kosten. Die Forschenden betonten, das offene Modell habe dieses Ergebnis ganz ohne die Endpunkt-Erkennung erzielt, die Semgreps eigene Pipeline zusätzlich unterstützt. So entstand ein direkter Vergleich der reinen Modellfähigkeit, unabhängig von der jeweiligen Werkzeugkette.

Entscheidend wird, ob Anbieter offener Modelle wie Zhipu AI und DeepSeek ihre Systeme künftig vor der Veröffentlichung eigenen Sicherheitstests unterziehen. Bislang bleibt diese Aufgabe weitgehend bei externen Institutionen wie dem AISI hängen. Beide Unternehmen veröffentlichen ihre Modellgewichte weiterhin frei zugänglich, ohne dass Dritte vorab prüfen, wie leicht sich die Systeme für Angriffe zweckentfremden lassen.

Häufige Fragen

Was ist das AI Security Institute (AISI)?

Das AISI ist eine britische Regierungsbehörde im Digitalministerium DSIT, die seit 2023 unabhängige Sicherheitstests an fortschrittlichen KI-Systemen durchführt.

Welche Modelle wurden in der Studie verglichen?

Getestet wurden die offenen Modelle GLM-5.2 von Zhipu AI und DeepSeek V4-Pro gegen die geschlossenen Systeme Claude Opus 4.6, Opus 4.5, GPT-5.3-Codex, Mythos Preview und GPT-5.5.

Warum ist der schrumpfende Abstand bei Cyberfähigkeiten relevant?

Offene Modelle lassen sich ohne Nutzungsbeschränkungen der Hersteller lokal betreiben, wodurch technische Hürden für automatisierte Angriffe sinken.

Bestätigen weitere Studien den AISI-Befund?

Ja, das Sicherheitsunternehmen Semgrep kam im Juni 2026 in einem eigenen Benchmark zu einem ähnlichen Ergebnis für GLM-5.2 gegenüber Claude-Modellen.

Was kostet die Nutzung der getesteten Modelle im Vergleich?

Laut AISI kostete das Lösen einer Aufgabe mit Opus 4.6 im Schnitt 15,17 US-Dollar, mit GLM-5.2 6,12 US-Dollar und mit DeepSeek V4-Pro nur 0,28 US-Dollar.


← Zurück zum Blog