GLM-5.2 и DeepSeek V4-Pro сократили отставание от закрытых ИИ в кибератаках до 4, 7 месяцев

GLM-5.2 и DeepSeek V4-Pro сократили отставание от закрытых ИИ в кибератаках до 4, 7 месяцев

Британский государственный институт AISI (AI Security Institute) впервые публично оценил, насколько открытые (open-weight) ИИ-модели отстают от закрытых проприетарных систем в кибервозможностях. Вывод: разрыв сокращается. Большую часть 2025 года он составлял 6, 10 месяцев, сейчас, 4, 7 месяцев.

AISI использовал два метода тестирования. Первый, «Narrow Cyber Tasks» («узкие кибер-задачи»): 70 заданий четырёх уровней сложности, от нетехнических до экспертных, включая поиск уязвимостей, реверс-инжиниринг, веб-эксплуатацию и криптографию. На этом тесте модель GLM-5.2 (вышла в июне 2026) показала результат на уровне закрытой Opus 4.6 (февраль 2026), отставание около четырёх месяцев. DeepSeek V4-Pro выступила на уровне Opus 4.5 (ноябрь 2025).

Второй метод, «Cyber Ranges» («кибер-полигоны»): проверка автономных кибернавыков в смоделированных сетях. Сценарий «The Last Ones» имитирует 32-шаговую атаку на корпоративную сеть с четырьмя подсетями и примерно 20 узлами; по оценке AISI, человеку-эксперту на неё нужно около 20 часов. Здесь GLM-5.2 сравнялась с Opus 4.5, а DeepSeek V4-Pro показала результат ниже Sonnet 4.5. Лучший итог показала закрытая GPT-5.6-Sol, обогнавшая Claude Mythos 5. Разрыв на «Cyber Ranges» шире, около семи месяцев, но AISI считает эту оценку менее надёжной: сценариев меньше, а тесты не позволяют отличить нехватку кибернавыков от неспособности модели удерживать план долгой сложной атаки. AISI также отмечает, что открытые модели не были специально настроены под эти тесты, поэтому их реальный потолок может быть немного занижен, а полигоны не учитывают действия живых защитников, которые были бы в реальной атаке.

Помимо сокращения разрыва в возможностях, резко упала стоимость атак. По данным AISI, тест на 100 миллионов токенов на «кибер-полигоне» стоит около 85 долларов на Opus 4.5/4.6, около 46 долларов на GLM-5.2 и всего 1,19 доллара на DeepSeek V4-Pro. Для отдельных задач, которые обе сравниваемые модели решали надёжно: Opus 4.6, около 15 долларов за задачу, GLM-5.2, около 6 долларов, Opus 4.5, около 12,5 доллара, а DeepSeek V4-Pro, всего 28 центов.

Защитные меры открытых моделей оказались малоэффективны. DeepSeek V4-Pro иногда отказывалась выполнять задачи по реверс-инжинирингу, но простая повторная попытка снимала ограничение. Такие механизмы, как мониторинг, классификаторы и лимиты запросов, не переносятся на открытые модели, потому что зависят от контроля над доступом к модели, а веса открытой модели можно скачать и запускать где угодно без всякого надзора. AISI называет это «постоянным и необратимым риском злоупотребления». При этом проблема не эксклюзивна для открытых моделей: отдельное исследование показало, что террористические группы также обходят защиту коммерческих чат-ботов для планирования атак, но свободно доступные открытые модели добавляют дополнительный риск.

AISI трактует нынешний разрыв как «окно» для подготовки защитников: пока сильнейшие возможности есть только у закрытых моделей с соответствующими мерами безопасности, у защитников есть время среагировать раньше, чем те же возможности станут общедоступны без сравнимых гарантий. Актуальность подтвердил апрель 2026 года: тогда закрытые модели Mythos Preview и GPT-5.5 показали один из крупнейших скачков в кибервозможностях с начала тестирования AISI, после чего британский Национальный центр кибербезопасности (NCSC) выпустил международные предупреждения об ускоряющемся изменении ландшафта киберугроз. AISI планирует протестировать модель Kimi-K3, чьи веса должны выйти в конце июля 2026 года: судя по нынешним бенчмаркам в кодинге, она может приблизиться к фронтирным моделям, хотя и по заметно более высокой цене, чем другие открытые модели.

Ключевые факты

  • AISI впервые публично оценил отставание открытых ИИ-моделей от закрытых в кибервозможностях: разрыв сократился с 6, 10 до 4, 7 месяцев
  • В тесте Narrow Cyber Tasks GLM-5.2 (июнь 2026) достигла уровня Opus 4.6 (февраль 2026, отставание около 4 месяцев), DeepSeek V4-Pro, уровня Opus 4.5 (ноябрь 2025)
  • Атака на 100 млн токенов на «кибер-полигоне» стоит около 85 долларов на Opus 4.5/4.6, но всего 46 долларов на GLM-5.2 и 1,19 доллара на DeepSeek V4-Pro
  • Защитные меры открытых моделей легко обходятся: DeepSeek V4-Pro иногда отказывалась от реверс-инжиниринга, но повторный запрос снимал ограничение
  • AISI планирует протестировать Kimi-K3 (веса выйдут в конце июля 2026 года), по бенчмаркам кодинга модель может приблизиться к фронтирным системам

Почему это важно

Открытые модели нельзя ни отозвать, ни ограничить в доступе после публикации весов, а по данным AISI они всего за несколько месяцев почти сравнялись с закрытыми флагманами в кибервозможностях и при этом стоят в десятки раз дешевле в использовании. Это меняет экономику кибератак: раньше продвинутые ИИ-атаки требовали доступа к дорогим закрытым моделям с встроенными ограничениями, теперь сопоставимый результат можно получить почти бесплатно и без какого-либо контроля со стороны разработчика модели.

Кому это важно

В первую очередь, специалистам по кибербезопасности и защите корпоративных сетей, которым нужно понимать реальные возможности атакующих. Также это важно регуляторам и государственным институтам вроде британского NCSC, которые формируют политику в отношении открытых моделей, и разработчикам open-weight моделей (в исследовании упомянуты GLM, DeepSeek, Kimi), чьи релизы напрямую влияют на баланс между пользой открытости и риском злоупотребления.

Как это применить

Организациям, отвечающим за защиту инфраструктуры, стоит закладывать в модель угроз, что автономные кибератаки с использованием открытых моделей стали дешёвым и доступным инструментом, а не гипотетическим сценарием. AISI призывает использовать нынешний разрыв в возможностях как окно: пока сильнейшие кибернавыки есть только у закрытых моделей с защитными механизмами, у защитников есть время подготовиться к моменту, когда сопоставимые возможности станут общедоступны без таких гарантий.

Можно ли доверять

AISI, государственный институт Великобритании, специализирующийся на оценке безопасности ИИ; выводы основаны на двух независимых методах тестирования (наборе конкретных кибер-задач и симуляциях сетевых атак), что повышает надёжность результата. При этом сам институт указывает на ограничения: оценка по «кибер-полигонам» опирается на меньшее число сценариев и слабее методологически, чем тест по отдельным задачам, а открытые модели не были специально настроены под эти тесты, что могло немного занизить их реальный потолок возможностей.

Риски и подводные камни

Главный риск, необратимость: веса открытой модели, однажды опубликованные, можно скачать, изменить и запускать где угодно, и никакие последующие меры безопасности разработчика на уже скачанные копии не действуют. AISI прямо называет это «постоянным и необратимым риском злоупотребления». Встроенные ограничения открытых моделей на практике обходятся тривиально, в тестах повторного запроса хватало, чтобы снять отказ модели от выполнения задачи. Похожая уязвимость есть и у закрытых коммерческих чат-ботов (упомянуто отдельное исследование о террористических группах, обходящих их защиту), но именно свободная доступность открытых моделей делает риск массовым.

«Постоянный и необратимый риск злоупотребления»

— AISI (British AI Security Institute)