Een overheidslab zette open modellen op een cyberbaan
Het Britse AI-veiligheidsinstituut heeft gemeten hoe dicht vrij te downloaden AI-modellen bij de beste gesloten systemen zijn gekomen op offensief cyberwerk, en het antwoord is ongemakkelijk dichtbij. In een rapport dat op 17 juli 2026 verscheen, testte het instituut twee open modellen, GLM-5.2 en DeepSeek V4-Pro, op 70 cybertaken verdeeld over vier vaardigheidsniveaus, van de technische leek tot de expert, plus een langer aanvalsscenario van 32 stappen op zijn cyberbaan.
GLM-5.2, in juni uitgebracht, evenaarde Anthropics Opus 4.6 van februari op de afgebakende taken en Opus 4.5 van november op de langere proeven. DeepSeek V4-Pro kwam uit op het niveau van Opus 4.5. Eenvoudig gezegd: het open model dat je vandaag kunt downloaden en op je eigen hardware kunt draaien, presteert als een topsysteem dat vier tot zeven maanden geleden vooropliep.
De prijs van een bekwame aanval stortte in
De kloof die het meest telt zijn niet de maanden, het is het geld. De cyberbaan van het instituut draaien met een toonaangevend gesloten model kostte ongeveer 85 dollar voor een run van 100 miljoen tokens; GLM-5.2 deed hetzelfde voor zo'n 46 dollar, en DeepSeek V4-Pro voor ongeveer 1 dollar en 19 cent. Per taak bij volledige betrouwbaarheid kostte Opus 4.6 15 dollar en 17 cent, GLM-5.2 6 dollar en 12 cent, en DeepSeek V4-Pro 28 cent.
Dat is geen afrondingsverschil. Dezelfde offensieve capaciteit die een jaar geleden achter de betaalde interface van een topfabrikant zat, met gebruikslogging en misbruikbewaking, draait nu op een zelf gehost model tegen ongeveer een vijftigste van de kosten en zonder dat iemand meekijkt. Voor iedereen die een Europees bedrijf runt, is de rekensom van wie het zich kan veroorloven om uw systemen af te tasten zojuist veranderd.
De veiligheidsremmen hielden niet
Open gewichten komen niet met een werkende uitknop. Het instituut meldde dat zijn evaluaties van deze modellen grotendeels onbelemmerd bleven door de beveiligingen. DeepSeek V4-Pro weigerde soms een verzoek om reverse engineering, maar gewoon opnieuw vragen was genoeg om de weigering te omzeilen.
Dit is het structurele punt bij het vrijgeven van open gewichten. Zodra de gewichten van een model openbaar zijn, zijn de beveiligingen slechts een advies, want iedereen kan ze wegtrainen of eromheen werken. Een gesloten model kun je afknijpen, controleren en afsluiten; een gedownload model niet. De veiligheidsvraag bij deze systemen draait daarom om capaciteit, niet om de beleefde weigeringen die een chatbot een terloopse gebruiker toont.
Wat een Europese exploitant hieruit moet meenemen
De les is geen paniek, het is timing. Het venster waarin geavanceerd offensief gereedschap duur en bewaakt bleef, sluit zich, en uw beveiligingsplanning moet ervan uitgaan dat een bekwame aanvaller nu goedkope, niet-gelogde toegang heeft tot capaciteiten die afgelopen winter van topniveau waren. Onder NIS2 en DORA ligt de plicht om dat risico te beheersen bij de exploitant, niet bij de modelmaker.
In de praktijk verhoogt dit de waarde van de basiszaken die het niet uitmaakt hoe de aanval is gemaakt: korte patchtijden, netwerksegmentatie, geteste back-ups en detectie die op gedrag let in plaats van op bekende signaturen. Het betekent ook dat de vraag aan een beveiligingsleverancier niet langer is of hij tegen menselijke aanvallers verdedigt, maar of zijn aannames nog kloppen wanneer het gereedschap van de aanvaller centen kost en nooit slaapt.
Lees hierna: VS overweegt een AI-waakhond die de labs zouden betalen | Washington bepaalt nu wanneer frontier-AI u bereikt



