Um laboratório estatal pôs modelos abertos num campo cibernético

O instituto britânico de segurança da IA mediu quão perto os modelos de IA de descarga livre chegaram dos melhores sistemas fechados no trabalho cibernético ofensivo, e a resposta é desconfortavelmente próxima. Num relatório publicado a 17 de julho de 2026, o instituto testou dois modelos abertos, GLM-5.2 e DeepSeek V4-Pro, em 70 tarefas cibernéticas repartidas por quatro níveis de perícia, do leigo técnico ao perito, além de um cenário de ataque mais longo de 32 passos no seu campo de ensaio.

O GLM-5.2, lançado em junho, igualou o Opus 4.6 da Anthropic de fevereiro nas tarefas delimitadas e o Opus 4.5 de novembro nas provas mais longas. O DeepSeek V4-Pro ficou ao nível do Opus 4.5. Dito de forma simples, o modelo aberto que hoje se pode descarregar e executar no próprio equipamento rende como um sistema de ponta que era o mais avançado há quatro a sete meses.

O preço de um ataque competente desabou

O fosso que mais conta não são os meses, é o dinheiro. Executar o campo de ensaio do instituto com um modelo fechado de topo custou cerca de 85 dólares por uma passagem de 100 milhões de tokens; o GLM-5.2 fez o mesmo por cerca de 46 dólares, e o DeepSeek V4-Pro por aproximadamente 1 dólar e 19 cêntimos. Por tarefa, com plena fiabilidade, o Opus 4.6 custou 15 dólares e 17 cêntimos, o GLM-5.2 custou 6 dólares e 12 cêntimos, e o DeepSeek V4-Pro custou 28 cêntimos.

Não é uma diferença de arredondamento. A mesma capacidade ofensiva que há um ano estava atrás da interface paga de um laboratório de ponta, com o seu registo de utilização e a sua vigilância de abusos, corre agora num modelo alojado por conta própria a cerca de um quinquagésimo do custo e sem ninguém a observar. Para quem gere uma empresa europeia, a conta de quem se pode dar ao luxo de sondar os seus sistemas acabou de mudar.

Os travões de segurança não aguentaram

Os pesos abertos não vêm com um interruptor de desligar que funcione. O instituto relatou que as suas avaliações destes modelos foram, em grande medida, não travadas pelas salvaguardas. O DeepSeek V4-Pro por vezes recusava um pedido de engenharia inversa, mas bastava voltar a pedir para contornar a recusa.

É este o ponto estrutural da divulgação com pesos abertos. Assim que os pesos de um modelo são públicos, as suas salvaguardas passam a ser apenas um conselho, porque qualquer um as pode treinar para as retirar ou dar-lhes a volta. Um modelo fechado pode ser limitado, auditado e cortado; um descarregado, não. A questão de segurança destes sistemas gira, por isso, em torno da capacidade, e não das recusas educadas que um agente conversacional mostra a um utilizador casual.

O que um operador europeu deve retirar disto

A lição não é o pânico, é a oportunidade no tempo. A janela em que as ferramentas ofensivas de ponta se mantinham caras e vigiadas está a fechar-se, e o seu planeamento de segurança deve presumir que um atacante competente tem agora acesso barato e não registado a capacidades que no inverno passado eram de primeira linha. Ao abrigo da NIS2 e da DORA, o dever de gerir esse risco recai sobre o operador, não sobre o fabricante do modelo.

Na prática, isto aumenta o valor dos fundamentos a que é indiferente como o ataque foi gerado: prazos curtos de correção, segmentação da rede, cópias de segurança testadas e uma deteção que vigia o comportamento em vez das assinaturas conhecidas. Significa também que a pergunta a fazer a um fornecedor de segurança já não é se defende contra atacantes humanos, mas se os seus pressupostos ainda se mantêm quando a ferramenta do atacante custa cêntimos e nunca dorme.