英国AI安全研究所(AISI)首次公开发布评估报告,量化了领先开源AI模型与顶级闭源系统在网络攻击能力上的差距。结果显示,这一差距正在快速收窄。

根据AISI的测试,当前开源模型GLM-5.2DeepSeek V4-Pro已达到闭源前沿模型4至7个月前的水准。而在2025年初,这一差距仍为6至10个月。AISI通过两种方法进行测试:一是包含70项任务的“窄域网络任务”基准测试,覆盖漏洞研究、逆向工程、Web利用和密码学等四个难度级别;二是在模拟网络中测试自主网络能力的“网络靶场”。

在窄域网络任务中,2026年6月发布的GLM-5.2匹配了2026年2月的Opus 4.6性能,落后约4个月;DeepSeek V4-Pro则达到2025年11月的Opus 4.5水平。在网络靶场测试中,差距扩大至约7个月。该测试模拟了一个包含4个子网、约20台主机的企业网络32步攻击场景,AISI估计人类专家需约20小时完成。GLM-5.2表现与Opus 4.5相当,DeepSeek V4-Pro则低于Sonnet 4.5。GPT-5.6-SolClaude Mythos 5取得最佳成绩,几乎完成全部模拟。

AISI指出,测试可能略微低估了开源模型的真实能力,因为它们未针对评估进行调优。同时,网络靶场排除了真实世界中可能存在的主动防御者等现实因素。

成本差异极为显著。AISI数据显示,一次1亿token的网络靶场测试,使用Opus 4.5或4.6成本约85美元,GLM-5.2约46美元,而DeepSeek V4-Pro仅需1.19美元。对于两个模型都能可靠解决的单个任务,Opus 4.6每项约15美元,GLM-5.2约6美元,Opus 4.5约12.50美元,DeepSeek V4-Pro仅0.28美元。这使得基于开源模型的网络攻击变得廉价且易于规模化。

AISI发现,开源模型的安全防护措施基本无效。DeepSeek V4-Pro有时会拒绝逆向工程任务,但只需重试即可绕过限制。由于开源模型的权重可被任何人下载、修改和运行,监控、分类器和用户限制等安全措施无法可靠生效。AISI将此描述为“持续且不可逆的滥用风险”。

不过,开源模型也带来明确优势:用户可私有化部署,数据不回流至提供商;可自定义并降低成本;依赖的基础不会被提供商更改或关闭。AISI表示这些相互竞争的关切需要平衡。

AISI将开源与闭源模型之间的差距视为防御者的准备窗口。在此期间,拥有最强闭源系统的网络防御者可在同等能力免费开放前采取行动。2026年4月,两个闭源模型Mythos PreviewGPT-5.5实现了AISI测试以来AI网络能力的最大跃升。英国国家网络安全中心随后发布国际警告,称网络威胁格局正在快速变化。

未来开源模型能否匹配这些最新进展仍不确定。AISI计划测试预计7月底发布权重的Kimi-K3,当前编码基准测试表明它可能更接近当前前沿模型水平。