Ett statligt laboratorium satte öppna modeller på en cyberbana

Det brittiska AI-säkerhetsinstitutet har mätt hur nära fritt nedladdningsbara AI-modeller har kommit de bästa slutna systemen i offensivt cyberarbete, och svaret är obehagligt nära. I en rapport som offentliggjordes den 17 juli 2026 testade institutet två öppna modeller, GLM-5.2 och DeepSeek V4-Pro, på 70 cyberuppgifter fördelade på fyra färdighetsnivåer, från den tekniska lekmannen till experten, plus ett längre angreppsscenario på 32 steg på sin cyberbana.

GLM-5.2, som släpptes i juni, matchade Anthropics Opus 4.6 från februari på de avgränsade uppgifterna och Opus 4.5 från november på de längre proven. DeepSeek V4-Pro låg på nivå med Opus 4.5. Rakt på sak: den öppna modell man kan ladda ner i dag och köra på egen hårdvara presterar som ett toppsystem som var ledande för fyra till sju månader sedan.

Priset på ett skickligt angrepp rasade

Klyftan som betyder mest är inte månaderna, det är pengarna. Att köra institutets cyberbana med en ledande sluten modell kostade omkring 85 dollar för en körning på 100 miljoner tokens; GLM-5.2 gjorde detsamma för cirka 46 dollar, och DeepSeek V4-Pro för ungefär 1 dollar och 19 cent. Per uppgift vid full tillförlitlighet kostade Opus 4.6 15 dollar och 17 cent, GLM-5.2 6 dollar och 12 cent, och DeepSeek V4-Pro 28 cent.

Det är ingen avrundningsskillnad. Samma offensiva förmåga som för ett år sedan låg bakom ett topplaboratoriums betalda gränssnitt, med sin användningsloggning och sin missbruksövervakning, körs nu på en självhostad modell till ungefär en femtiondel av kostnaden och utan att någon ser på. För var och en som driver ett europeiskt företag har kalkylen för vem som har råd att sondera era system just ändrats.

Säkerhetsspärrarna höll inte

Öppna vikter kommer inte med en fungerande avstängningsknapp. Institutet rapporterade att dess utvärderingar av dessa modeller till stor del var ohindrade av skydden. DeepSeek V4-Pro avböjde ibland en begäran om baklängeskonstruktion, men det räckte att fråga igen för att kringgå avslaget.

Det är den strukturella poängen med utgivning av öppna vikter. När en modells vikter väl är offentliga är dess skydd bara en rekommendation, för vem som helst kan träna bort dem eller gå runt dem. En sluten modell kan strypas, granskas och stängas av; en nedladdad kan inte. Säkerhetsfrågan för dessa system handlar därför om förmåga, inte om de artiga avslag en chattbot visar en tillfällig användare.

Vad en europeisk operatör bör ta med sig

Lärdomen är inte panik, det är tajmning. Fönstret då avancerade offensiva verktyg förblev dyra och övervakade håller på att stängas, och er säkerhetsplanering bör utgå från att en kompetent angripare nu har billig, ologgad tillgång till förmågor som i vintras var i toppklass. Under NIS2 och DORA ligger skyldigheten att hantera den risken hos operatören, inte hos modelltillverkaren.

I praktiken höjer detta värdet av det grundläggande som inte bryr sig om hur angreppet skapades: korta patchtider, nätverkssegmentering, testade säkerhetskopior och en upptäckt som ser på beteende i stället för kända signaturer. Det betyder också att frågan till en säkerhetsleverantör inte längre är om den försvarar mot mänskliga angripare, utan om dess antaganden fortfarande håller när angriparens verktyg kostar småpengar och aldrig sover.