Ein staatliches Labor testete offene Modelle auf einem Cyberbereich

Das britische AI Security Institute hat gemessen, wie nah frei herunterladbare KI-Modelle den besten geschlossenen Systemen bei offensiver Cyberarbeit gekommen sind, und das Ergebnis ist unangenehm nah. In einem am 17. Juli 2026 veröffentlichten Bericht prüfte das Institut zwei offene Modelle, GLM-5.2 und DeepSeek V4-Pro, an 70 Cyberaufgaben über vier Könnensstufen vom technischen Laien bis zum Experten, dazu ein längeres Angriffsszenario mit 32 Schritten auf seinem Cyberbereich.

GLM-5.2, im Juni erschienen, erreichte bei den engen Aufgaben das Niveau von Anthropics Opus 4.6 aus dem Februar und bei den längeren Läufen das von Opus 4.5 aus dem November. DeepSeek V4-Pro lag auf Höhe von Opus 4.5. Im Klartext: Das offene Modell, das man heute herunterladen und auf eigener Hardware betreiben kann, arbeitet wie ein Spitzensystem, das vor vier bis sieben Monaten führend war.

Der Preis für einen fähigen Angriff brach ein

Die entscheidende Lücke sind nicht die Monate, sondern das Geld. Ein Durchlauf des Cyberbereichs mit einem führenden geschlossenen Modell kostete rund 85 Dollar für 100 Millionen Token; GLM-5.2 schaffte dasselbe für etwa 46 Dollar und DeepSeek V4-Pro für ungefähr 1 Dollar und 19 Cent. Pro Aufgabe bei voller Zuverlässigkeit kostete Opus 4.6 15 Dollar und 17 Cent, GLM-5.2 6 Dollar und 12 Cent und DeepSeek V4-Pro 28 Cent.

Das ist kein Rundungsfehler. Dieselbe offensive Fähigkeit, die vor einem Jahr hinter der bezahlten Schnittstelle eines Spitzenlabors mit Nutzungsprotokollen und Missbrauchsüberwachung saß, läuft nun auf einem selbst gehosteten Modell zu etwa einem Fünfzigstel der Kosten und ohne Aufsicht. Für jedes europäische Unternehmen hat sich damit die Rechnung geändert, wer es sich leisten kann, Ihre Systeme abzutasten.

Die Sicherungen hielten nicht

Offene Gewichte kommen ohne funktionierenden Ausschalter. Das Institut berichtete, dass seine Prüfungen dieser Modelle von Schutzmechanismen weitgehend ungehindert blieben. DeepSeek V4-Pro verweigerte manchmal eine Anfrage zum Reverse Engineering, doch ein erneutes Nachfragen genügte, um die Weigerung zu umgehen.

Das ist der strukturelle Punkt bei der Freigabe offener Gewichte. Sobald die Gewichte eines Modells öffentlich sind, sind seine Schutzmechanismen nur noch Empfehlung, denn jeder kann sie wegtrainieren oder umgehen. Ein geschlossenes Modell lässt sich drosseln, prüfen und abschalten; ein heruntergeladenes nicht. Die Sicherheitsfrage bei diesen Systemen dreht sich daher um Fähigkeit, nicht um die höflichen Absagen, die ein Chatbot einem beiläufigen Nutzer zeigt.

Was ein europäischer Betreiber daraus mitnehmen sollte

Die Lehre ist keine Panik, sondern eine Frage des Zeitpunkts. Das Zeitfenster, in dem modernste Angriffswerkzeuge teuer und überwacht blieben, schließt sich, und Ihre Sicherheitsplanung sollte davon ausgehen, dass ein fähiger Angreifer nun billigen, nicht protokollierten Zugang zu Fähigkeiten hat, die im vergangenen Winter Spitzenklasse waren. Unter NIS2 und DORA liegt die Pflicht, dieses Risiko zu steuern, beim Betreiber, nicht beim Modellhersteller.

Praktisch steigert das den Wert der Grundlagen, denen egal ist, wie der Angriff erzeugt wurde: kurze Patchzeiten, Netzsegmentierung, geprüfte Sicherungen und eine Erkennung, die auf Verhalten achtet statt auf bekannte Signaturen. Es heißt auch, dass die Frage an einen Sicherheitsanbieter nicht mehr lautet, ob er gegen menschliche Angreifer schützt, sondern ob seine Annahmen noch gelten, wenn das Werkzeug des Angreifers Cent-Beträge kostet und nie schläft.