Et statsligt laboratorium satte åbne modeller på en cyberbane
Det britiske AI-sikkerhedsinstitut har målt, hvor tæt frit downloadbare AI-modeller er kommet på de bedste lukkede systemer i offensivt cyberarbejde, og svaret er ubehageligt tæt på. I en rapport offentliggjort den 17. juli 2026 testede instituttet to åbne modeller, GLM-5.2 og DeepSeek V4-Pro, på 70 cyberopgaver fordelt på fire færdighedsniveauer, fra den tekniske lægmand til eksperten, plus et længere angrebsscenarie på 32 trin på sin cyberbane.
GLM-5.2, udgivet i juni, matchede Anthropics Opus 4.6 fra februar på de afgrænsede opgaver og Opus 4.5 fra november på de længere prøver. DeepSeek V4-Pro lå på niveau med Opus 4.5. Sagt ligeud: den åbne model, man kan hente i dag og køre på sit eget udstyr, yder som et frontsystem, der var førende for fire til syv måneder siden.
Prisen på et dygtigt angreb styrtdykkede
Den kløft, der betyder mest, er ikke månederne, det er pengene. At køre instituttets cyberbane med en førende lukket model kostede omkring 85 dollar for en gennemkørsel på 100 millioner tokens; GLM-5.2 gjorde det samme for cirka 46 dollar, og DeepSeek V4-Pro for omkring 1 dollar og 19 cent. Pr. opgave ved fuld pålidelighed kostede Opus 4.6 15 dollar og 17 cent, GLM-5.2 6 dollar og 12 cent, og DeepSeek V4-Pro 28 cent.
Det er ikke en afrundingsforskel. Den samme offensive evne, der for et år siden lå bag et frontlaboratoriums betalte grænseflade med brugslogning og misbrugsovervågning, kører nu på en selvhostet model til omkring en halvtredsindstyvendedel af prisen og uden nogen, der kigger med. For enhver, der driver en europæisk virksomhed, har regnestykket for, hvem der har råd til at sondere jeres systemer, netop ændret sig.
Sikkerhedsbremserne holdt ikke
Åbne vægte kommer ikke med en fungerende slukkeknap. Instituttet oplyste, at dets evalueringer af disse modeller stort set var uhindrede af værn. DeepSeek V4-Pro afviste af og til en anmodning om reverse engineering, men det var nok at spørge igen for at omgå afvisningen.
Det er det strukturelle punkt ved udgivelse med åbne vægte. Så snart en models vægte er offentlige, er dens værn kun en anbefaling, for enhver kan træne dem væk eller gå uden om dem. En lukket model kan struppes, revideres og lukkes ned; en downloadet kan ikke. Sikkerhedsspørgsmålet ved disse systemer handler derfor om evne, ikke om de høflige afvisninger, en chatbot viser en tilfældig bruger.
Hvad en europæisk operatør bør tage med herfra
Læren er ikke panik, det er timing. Vinduet, hvor avanceret offensivt værktøj forblev dyrt og overvåget, er ved at lukke, og jeres sikkerhedsplanlægning bør antage, at en kompetent angriber nu har billig, ulogget adgang til evner, der sidste vinter var i topklasse. Under NIS2 og DORA ligger pligten til at styre den risiko hos operatøren, ikke hos modelproducenten.
I praksis øger det værdien af det grundlæggende, der er ligeglad med, hvordan angrebet blev skabt: korte patchtider, netværkssegmentering, afprøvede sikkerhedskopier og en detektion, der holder øje med adfærd i stedet for kendte signaturer. Det betyder også, at spørgsmålet til en sikkerhedsleverandør ikke længere er, om den forsvarer mod menneskelige angribere, men om dens antagelser stadig holder, når angriberens værktøj koster småpenge og aldrig sover.
Læs videre: USA overvejer en AI-vagthund, som laboratorierne skal betale | Washington afgør nu, hvornår frontier-AI når dig



