英國AI安全研究所(AISI)首次公開發布評估報告,量化了領先開源AI模型與頂級閉源系統在網路攻擊能力上的差距。結果顯示,這一差距正在快速收窄。
根據AISI的測試,當前開源模型如GLM-5.2和DeepSeek V4-Pro已達到閉源前沿模型4至7個月前的水準。而在2025年初,這一差距仍為6至10個月。AISI通過兩種方法進行測試:一是包含70項任務的“窄域網路任務”基準測試,覆蓋漏洞研究、逆向工程、Web利用和密碼學等四個難度級別;二是在模擬網路中測試自主網路能力的“網路靶場”。
在窄域網路任務中,2026年6月釋出的GLM-5.2匹配了2026年2月的Opus 4.6效能,落後約4個月;DeepSeek V4-Pro則達到2025年11月的Opus 4.5水平。在網路靶場測試中,差距擴大至約7個月。該測試模擬了一個包含4個子網、約20台主機的企業網路32步攻擊場景,AISI估計人類專家需約20小時完成。GLM-5.2表現與Opus 4.5相當,DeepSeek V4-Pro則低於Sonnet 4.5。GPT-5.6-Sol和Claude Mythos 5取得最佳成績,幾乎完成全部模擬。
AISI指出,測試可能略微低估了開源模型的真實能力,因為它們未針對評估進行調優。同時,網路靶場排除了真實世界中可能存在的主動防禦者等現實因素。
成本差異極為顯著。AISI資料顯示,一次1億token的網路靶場測試,使用Opus 4.5或4.6成本約85美元,GLM-5.2約46美元,而DeepSeek V4-Pro僅需1.19美元。對於兩個模型都能可靠解決的單個任務,Opus 4.6每項約15美元,GLM-5.2約6美元,Opus 4.5約12.50美元,DeepSeek V4-Pro僅0.28美元。這使得基於開源模型的網路攻擊變得廉價且易於規模化。
AISI發現,開源模型的安全防護措施基本無效。DeepSeek V4-Pro有時會拒絕逆向工程任務,但只需重試即可繞過限制。由於開源模型的權重可被任何人下載、修改和執行,監控、分類器和使用者限制等安全措施無法可靠生效。AISI將此描述為“持續且不可逆的濫用風險”。
不過,開源模型也帶來明確優勢:使用者可私有化部署,資料不迴流至提供商;可自定義並降低成本;依賴的基礎不會被提供商更改或關閉。AISI表示這些相互競爭的關切需要平衡。
AISI將開源與閉源模型之間的差距視為防禦者的準備視窗。在此期間,擁有最強閉源系統的網路防禦者可在同等能力免費開放前採取行動。2026年4月,兩個閉源模型Mythos Preview和GPT-5.5實現了AISI測試以來AI網路能力的最大躍升。英國國家網路安全中心隨後釋出國際警告,稱網路威脅格局正在快速變化。
未來開源模型能否匹配這些最新進展仍不確定。AISI計劃測試預計7月底釋出權重的Kimi-K3,當前編碼基準測試表明它可能更接近當前前沿模型水平。