Państwowe laboratorium wystawiło otwarte modele na poligon cyber
Brytyjski instytut bezpieczeństwa AI zmierzył, jak blisko swobodnie pobieralne modele AI podeszły do najlepszych zamkniętych systemów w ofensywnej pracy cyber, a odpowiedź jest niepokojąco bliska. W raporcie opublikowanym 17 lipca 2026 roku instytut przetestował dwa otwarte modele, GLM-5.2 i DeepSeek V4-Pro, na 70 zadaniach cyber rozłożonych na cztery poziomy umiejętności, od laika technicznego po eksperta, plus dłuższy scenariusz ataku złożony z 32 kroków na swoim poligonie.
GLM-5.2, wydany w czerwcu, dorównał Opus 4.6 Anthropica z lutego na wąskich zadaniach i Opus 4.5 z listopada na dłuższych próbach. DeepSeek V4-Pro uplasował się na poziomie Opus 4.5. Mówiąc wprost, otwarty model, który dziś można pobrać i uruchomić na własnym sprzęcie, działa jak czołowy system, który był na czele cztery do siedmiu miesięcy temu.
Cena sprawnego ataku runęła
Luka, która liczy się najbardziej, to nie miesiące, lecz pieniądze. Uruchomienie poligonu instytutu z wiodącym zamkniętym modelem kosztowało około 85 dolarów za przebieg na 100 milionach tokenów; GLM-5.2 zrobił to samo za około 46 dolarów, a DeepSeek V4-Pro za mniej więcej 1 dolara i 19 centów. Za zadanie przy pełnej niezawodności Opus 4.6 kosztował 15 dolarów i 17 centów, GLM-5.2 6 dolarów i 12 centów, a DeepSeek V4-Pro 28 centów.
To nie jest różnica zaokrąglenia. Ta sama ofensywna zdolność, która rok temu tkwiła za płatnym interfejsem czołowego laboratorium, z jego rejestrowaniem użycia i nadzorem nad nadużyciami, działa teraz na modelu hostowanym we własnym zakresie za około jedną pięćdziesiątą kosztu i bez nikogo, kto by patrzył. Dla każdego, kto prowadzi europejską firmę, rachunek, kogo stać na sondowanie waszych systemów, właśnie się zmienił.
Hamulce bezpieczeństwa nie wytrzymały
Otwarte wagi nie mają działającego wyłącznika. Instytut podał, że jego oceny tych modeli były w dużej mierze nieskrępowane przez zabezpieczenia. DeepSeek V4-Pro czasem odmawiał prośby o inżynierię wsteczną, ale wystarczyło zapytać ponownie, by obejść odmowę.
To jest strukturalny punkt udostępniania otwartych wag. Gdy wagi modelu staną się publiczne, jego zabezpieczenia są już tylko zaleceniem, bo każdy może je wytrenować do zniknięcia lub je obejść. Zamknięty model można ograniczyć, skontrolować i odciąć; pobranego nie. Kwestia bezpieczeństwa tych systemów dotyczy więc zdolności, a nie uprzejmych odmów, które chatbot pokazuje przypadkowemu użytkownikowi.
Co europejski operator powinien z tego wyciągnąć
Nauka to nie panika, lecz wyczucie czasu. Okno, w którym najnowocześniejsze narzędzia ofensywne pozostawały drogie i nadzorowane, zamyka się, a wasze planowanie bezpieczeństwa powinno zakładać, że kompetentny napastnik ma teraz tani, nierejestrowany dostęp do zdolności, które zeszłej zimy były w najwyższej klasie. W ramach NIS2 i DORA obowiązek zarządzania tym ryzykiem spoczywa na operatorze, nie na twórcy modelu.
W praktyce podnosi to wartość podstaw, którym obojętne jest, jak wygenerowano atak: krótkie czasy łatania, segmentacja sieci, przetestowane kopie zapasowe i wykrywanie, które śledzi zachowanie zamiast znanych sygnatur. Oznacza to również, że pytanie do dostawcy bezpieczeństwa nie brzmi już, czy broni przed ludzkimi napastnikami, lecz czy jego założenia wciąż się trzymają, gdy narzędzie napastnika kosztuje grosze i nigdy nie śpi.
Czytaj dalej: USA rozważają nadzór nad AI, za który zapłacą laboratoria | Waszyngton decyduje teraz, kiedy przełomowa AI dotrze do ciebie



